2021 年 3 月頭號惡意軟件：IcedID 銀行木馬在新冠肺炎疫情相關攻擊活動后躋身惡意軟件指數(shù)排行榜前十名

 

Check Point Research 報告指出，在利用新冠肺炎疫情誘騙新受害者后，IcedID 首次躋身全球惡意軟件指數(shù)排行榜，位列第二。

 

2021 年 4 月 13 日 – 全球領先網(wǎng)絡安全解決方案提供商 Check Point ® 軟件技術有限公司 (納斯達克股票代碼：CHKP)的威脅情報部門 Check Point Research (CPR) 發(fā)布了其 2021 年 3 月最新版《全球威脅指數(shù)》報告。研究人員報告稱，IcedID 銀行木馬首次進入該指數(shù)榜單，位列第二，同時 Dridex 老牌木馬從 2 月的第七位躍升為 3 月最猖獗的惡意軟件。

 

IcedID 于 2017 年首次出現(xiàn)，并通過多次垃圾郵件攻擊活動在 3 月迅速傳播，影響了全球 11% 的組織。它發(fā)起的一場廣泛攻擊活動利用新冠肺炎疫情主題誘使新受害者打開惡意電子郵件附件;這些附件大多是 Microsoft Word 文檔，帶有用于插入 IcedID 安裝程序的惡意宏。安裝后，該木馬將試圖從用戶 PC 中竊取帳戶詳細信息、支付憑證及其他敏感信息。此外，IcedID 還使用其他惡意軟件進行擴散，并已用作勒索軟件攻擊感染的第一步。

 

Check Point 產(chǎn)品威脅情報與研究總監(jiān) Maya Horowitz 表示：“IcedID 已存在多年，但最近被廣泛使用，這表明網(wǎng)絡犯罪分子正不斷變換花樣，以疫情為幌子實施組織攻擊。IcedID 是一種特別隱蔽的木馬，利用一系列伎倆竊取財務數(shù)據(jù)，因此組織必須確保采用強大的安全系統(tǒng)來防止其網(wǎng)絡遭到入侵，并將風險降至最低。對所有員工進行全面培訓至關重要，這樣他們才能夠掌握所需技能，從而準確識別傳播 IcedID 及其他惡意軟件的惡意電子郵件類型。”

 

CPR 還警告稱，“HTTP 標頭遠程代碼執(zhí)行 (CVE-2020-13756)”是最常被利用的漏洞，全球 45% 的組織因此遭殃，其次是“MVPower DVR 遠程代碼執(zhí)行”，影響了全球 44% 的組織。“Dasan GPON 路由器身份驗證繞過 (CVE-2018-10561)”在最常被利用的漏洞排行榜中位列第三，全球影響范圍為 44%。

 

頭號惡意軟件家族

 

* 箭頭表示與上月相比的排名變化。

 

Dridex 是本月最活躍的惡意軟件，全球 16% 的組織受到波及，其次是 IcedID 和 Lokibot，分別影響了全球 11% 和 9% 的組織。

 

1. ↑ Dridex - Dridex 是一種針對 Windows 平臺的木馬，據(jù)稱可通過垃圾郵件附件下載。Dridex 不僅能夠聯(lián)系遠程服務器并發(fā)送有關受感染系統(tǒng)的信息，而且還可以下載并執(zhí)行從遠程服務器接收的任意模塊。

 

2. ↑ IcedID - IcedID 是一種通過垃圾電子郵件攻擊活動傳播的銀行木馬，使用進程注入和隱寫等狡詐伎倆竊取用戶財務數(shù)據(jù)。

 

3. ↑ Lokibot - Lokibot 是一種主要通過網(wǎng)絡釣魚電子郵件散播的信息竊取程序，用于竊取各種數(shù)據(jù)，例如電子郵件憑證以及 CryptoCoin 錢包和 FTP 服務器密碼。

 

最常被利用的漏洞

 

本月，“HTTP 標頭遠程代碼執(zhí)行 (CVE-2020-13756)”是最常被利用的漏洞，全球 45% 的組織因此遭殃，其次是“MVPower DVR 遠程代碼執(zhí)行”，影響了全球 44% 的組織。“Dasan GPON 路由器身份驗證繞過 (CVE-2018-10561)”位列第三，全球影響范圍為 44%。

 

1. ↑ HTTP 標頭遠程代碼執(zhí)行 (CVE-2020-13756) - HTTP 標頭允許客戶端和服務器傳遞帶 HTTP 請求的其他信息。遠程攻擊者可能會使用存在漏洞的 HTTP 標頭在受感染機器上運行任意代碼。

 

2. ↑ MVPower DVR 遠程代碼執(zhí)行 - 一種存在于 MVPower DVR 設備中的遠程代碼執(zhí)行漏洞。遠程攻擊者可利用此漏洞，通過精心設計的請求在受感染的路由器中執(zhí)行任意代碼。

 

3. ↑ Dasan GPON 路由器身份驗證繞過 (CVE-2018-10561) – 存在于 Dasan GPON 路由器中的身份驗證繞過漏洞。遠程攻擊者可利用此漏洞獲取敏感信息，并在不經(jīng)授權(quán)的情況下訪問受感染系統(tǒng)。

 

主要移動惡意軟件

 

Hiddad 位列最猖獗的移動惡意軟件指數(shù)榜首，其次是 xHelper 和 FurBall。

 

1. Hiddad — Hiddad 是一種 Android 惡意軟件，能夠?qū)戏☉眠M行重新打包，然后將其發(fā)布到第三方商店。其主要功能是顯示廣告，但它也可以訪問操作系統(tǒng)內(nèi)置的關鍵安全細節(jié)。

 

2. xHelper - 自 2019 年3 月以來開始肆虐的惡意應用，用于下載其他惡意應用并顯示惡意廣告。該應用能夠?qū)τ脩綦[身，甚至可以在卸載后進行自我重新安裝。

 

3. FurBall - FurBall 是一種 Android MRAT(移動遠程訪問木馬)，由與伊朗政府存在關聯(lián)的伊朗 APT 組織 APT-C-50 部署。該惡意軟件早在 2017 年的多起攻擊活動中便已使用，至今仍然活躍。FurBall 的功能包括：竊取短信和手機通話記錄、記錄通話和周圍環(huán)境、收集媒體文件、跟蹤位置等。

 

Check Point《全球威脅影響指數(shù)》及其《ThreatCloud 路線圖》基于 Check Point ThreatCloud 情報數(shù)據(jù)撰寫而成，ThreatCloud 是打擊網(wǎng)絡犯罪的最大協(xié)作網(wǎng)絡，可通過全球威脅傳感器網(wǎng)絡提供威脅數(shù)據(jù)和攻擊趨勢。ThreatCloud 數(shù)據(jù)庫每天檢查超過 30 億個網(wǎng)站和 6 億份文件，每天識別超過 2.5 億起惡意軟件攻擊活動。

 

關于 Check Point Research

 

Check Point Research 能夠為 Check Point Software 客戶以及整個情報界提供領先的網(wǎng)絡威脅情報。Check Point 研究團隊負責收集和分析 ThreatCloud 存儲的全球網(wǎng)絡攻擊數(shù)據(jù)，以便在防范黑客的同時，確保所有 Check Point 產(chǎn)品都享有最新保護措施。此外，該團隊由 100 多名分析師和研究人員組成，能夠與其他安全廠商、執(zhí)法機關及各個計算機安全應急響應組展開合作。

 

關于 Check Point 軟件技術有限公司

 

Check Point 軟件技術有限公司 ( www.checkpoint.com ) 是一家面向全球政府和企業(yè)的領先網(wǎng)絡安全解決方案提供商。 Check Point 解決方案對惡意軟件、勒索軟件和高級目標威脅的捕獲率處于業(yè)界領先水準，可有效保護客戶免受第五代網(wǎng)絡攻擊。Check Point 推出了多級安全架構(gòu) Infinity Total Protection，這一組合產(chǎn)品架構(gòu)具備第五代高級威脅防御能力，可全面保護企業(yè)的云、網(wǎng)絡和移動設備。Check Point 還可提供最全面、最直觀的單點控制安全管理系統(tǒng)。Check Point 為十萬多家各種規(guī)模的企業(yè)提供保護。