Check Point 研究人員發現,可竊取 Wi-Fi 密碼的新版 Agent Tesla 的攻擊利用率激增,而 Dridex 銀行木馬成為最常見的威脅

近日,全球領先的網絡安全解決方案提供商 Check Point® 軟件技術有限公司(納斯達克股票代碼:CHKP)的威脅情報部門 Check Point Research 發布了其 2020 年 4 月最新版《全球威脅指數》報告。研究人員發現,多起 COVID-19 相關垃圾郵件攻擊活動正在傳播 Agent Tesla 遠程訪問木馬的新變種,使這一惡意軟件躍升至指數報告排行榜第三位,波及全球 3% 的組織。

Agent Tesla 的新變種已經過修改,可從目標電腦竊取 Wi-Fi 密碼及其他信息,例如 Outlook 電子郵件證書。4 月,Agent Tesla 作為附件用于多起 COVID-19 相關惡意垃圾郵件攻擊活動,以提供有關疫情的有趣信息為幌子,企圖誘騙受害者下載惡意文件。其中一起攻擊活動聲稱郵件由世界衛生組織發送,主題為“緊急信息通報函:首次 COVID-19 疫苗人體測試/結果更新”。這揭示了黑客將如何利用全球新聞事件和公眾關切來提高其攻擊成功率。

3 月,知名銀行木馬 Dridex 首次躋身威脅指數報告排行榜前十位,并于 4 月產生更大影響。該木馬從上個月的指數報告排行榜第 3 位一舉躍居首位,影響了全球 4% 的組織。3 月最猖獗的惡意軟件 XMRig 跌至第二位。

Check Point 產品威脅情報與研究總監 Maya Horowitz 表示:“4 月發生的多起 Agent Tesla 惡意垃圾郵件攻擊活動充分表明,網絡犯罪分子借新聞事件誘騙毫無戒心的受害者點擊受感染鏈接,手段十分狡猾詭詐。Agent Tesla 和 Dridex 均躋身威脅指數報告排行榜前三位,由此可見,犯罪分子正專注于竊取用戶的個人和業務數據及證書,以從中牟利。因此,各組織必須積極主動地采取靈活方法來提醒用戶,讓其員工隨時了解最新工具和技術,尤其是在越來越多的員工居家辦公的特殊時期。”

研究團隊還警告稱“MVPower DVR 遠程執行代碼”仍然是最常被利用的漏洞,影響范圍不斷擴大,全球 46% 的組織受到波及。緊隨其后的是“OpenSSL TLS DTLS 心跳信息泄露”,全球影響范圍為 41%,其次是“HTTP 載荷命令行注入”,影響了全球 40% 的組織。

頭號惡意軟件家族

* 箭頭表示與上月相比的排名變化。

本月,Dridex 躍居榜首,全球 4% 的組織受到波及,其次是 XMRig 和 Agent Tesla,分別影響了全球 4% 和 3% 的組織。

↑ Dridex – Dridex 是一種針對 Windows 平臺的木馬,據說通過垃圾郵件附件進行下載。Dridex 不僅能夠聯系遠程服務器并發送有關受感染系統的信息,而且還可以下載并執行從遠程服務器接收的任意模塊。

↓ XMRig – XMRig 是一種開源 CPU 挖礦軟件,用于門羅幣加密貨幣的挖掘,首次出現時間為 2017 年 5 月。

↑ Agent Tesla – Agent Tesla 是一種用作鍵盤記錄器和信息竊取程序的高級 RAT,能夠監控和收集受害者的鍵盤輸入與系統剪貼板、截圖并盜取受害者電腦上安裝的各種軟件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端)的證書。

最常被利用的漏洞

本月,“MVPower DVR 遠程執行代碼”是最常被利用的漏洞,全球 46% 的組織因此遭殃,其次是“OpenSSL TLS DTLS 心跳信息泄露”,全球影響范圍為 41%。“HTTP 載荷命令行注入”漏洞位列第三,影響了全球 40% 的組織,主要出現在利用“DrayTek”路由器和交換機設備 (CVE-2020-8515) 的零日漏洞發起的攻擊中。

↔ MVPower DVR 遠程執行代碼 – 一種存在于 MVPower DVR 設備中的遠程代碼執行漏洞。遠程攻擊者可利用此漏洞,通過精心設計的請求在受感染的路由器中執行任意代碼。

↑ OpenSSL TLS DTLS 心跳信息泄露(CVE-2014-0160;CVE-2014-0346) – 一種存在于 OpenSSL 中的信息泄露漏洞。該漏洞是因處理 TLS/DTLS 心跳包時發生錯誤所致。攻擊者可利用該漏洞泄露聯網客戶端或服務器的內存內容。

↑ HTTP 載荷命令行注入 – 通過向受害者發送特制請求,遠程攻擊者便可利用此漏洞。攻擊者可通過該漏洞在目標計算機上執行任意代碼。

頭號惡意軟件家族 - 移動惡意軟件

本月,xHelper 仍位列最猖獗的移動惡意軟件榜首,其次是 Lotoor 和 AndroidBauts。

xHelper - 自 2019 年 3 月以來開始肆虐的惡意應用,用于下載其他惡意應用并顯示惡意廣告。該應用能夠對用戶隱身,并在卸載后進行自我重新安裝。

Lotoor - Lotoor 是一種黑客工具,能夠利用 Android 操作系統漏洞在入侵的移動設備上獲得根權限。

AndroidBauts – AndroidBauts 是一種針對 Android 用戶的廣告軟件,可以盜取 IMEI、IMSI、GPS 位置和其他設備信息,并允許在移動設備上安裝第三方應用和快捷方式。

Check Point《全球威脅影響指數》及其《ThreatCloud 路線圖》基于 Check Point ThreatCloud 情報數據撰寫而成,ThreatCloud 是打擊網絡犯罪的最大協作網絡,可通過全球威脅傳感器網絡提供威脅數據和攻擊趨勢。ThreatCloud 數據庫每天檢查超過 25 億個網站和 5 億份文件,每天識別超過 2.5 億起惡意軟件攻擊活動。

如欲查看 4 月份十大惡意軟件家族的完整列表,請訪問 Check Point 博客。