2024年2月頭號(hào)惡意軟件:新型 FakeUpdates 攻擊活動(dòng)瞄準(zhǔn) WordPress 網(wǎng)站。

研究人員發(fā)現(xiàn)了一起瞄準(zhǔn) WordPress 網(wǎng)站的新型 FakeUpdates（又稱(chēng) SocGolish）攻擊活動(dòng)，該活動(dòng)利用被盜管理員賬戶(hù)發(fā)起攻擊。與此同時(shí)，Play 躍居頭號(hào)勒索軟件團(tuán)伙前三名，教育行業(yè)仍是全球首要攻擊目標(biāo)

2024年3月， 領(lǐng)先的云端 AI 網(wǎng)絡(luò)安全平臺(tái)提供商 Check Point? 軟件技術(shù)有限公司（納斯達(dá)克股票代碼:CHKP）發(fā)布了其2024年2月《全球威脅指數(shù)》報(bào)告。上月，研究人員發(fā)現(xiàn)了一起新型 FakeUpdates 攻擊活動(dòng)，攻擊者利用被盜 wp-admin 管理員賬戶(hù)感染了 WordPress 網(wǎng)站。在該活動(dòng)中，F(xiàn)akeUpdates 惡意軟件調(diào)整了其攻擊手段，利用篡改過(guò)的 WordPress 插件入侵網(wǎng)站，并誘騙個(gè)人下載遠(yuǎn)程訪(fǎng)問(wèn)木馬。與此同時(shí)， Lockbit3仍是最猖獗的勒索軟件團(tuán)伙，其攻擊數(shù)量占已發(fā)布攻擊的20%;教育行業(yè)仍然是全球受影響最 大的行業(yè)。

FakeUpdates（又稱(chēng) SocGholish）的出現(xiàn)起碼可追溯到2017年，之后一直活躍至今。它使用 JavaScript 惡意軟件來(lái)攻擊網(wǎng)站，尤其是采用內(nèi)容管理系統(tǒng)的網(wǎng)站。FakeUpdates 惡意軟件通常是威脅指數(shù)推薦榜中最猖獗的惡意軟件，意在誘騙用戶(hù)下載惡意軟件。盡管業(yè)界竭力應(yīng)對(duì)，但它仍對(duì)網(wǎng)站安全和用戶(hù)數(shù)據(jù)構(gòu)成重大威脅。這一復(fù)雜的惡意軟件變體以前與網(wǎng)絡(luò)犯罪團(tuán)伙 Evil Corp 有關(guān)。該團(tuán)伙利用 FakeUpdates 惡意軟件的下載程序功能，通過(guò)dou售對(duì)已遭感染系統(tǒng)的訪(fǎng)問(wèn)權(quán)限來(lái)牟利。如果 Evil Corp 團(tuán)伙向多個(gè)客戶(hù)提供訪(fǎng)問(wèn)權(quán)限，就會(huì)引致其他惡意軟件感染。

Check Point 軟件技術(shù)公司研究副總裁 Maya Horowitz 表示:“網(wǎng)站是整個(gè)世界的數(shù)字門(mén)面，對(duì)于通信、商業(yè)和連接至關(guān)重要。保護(hù)網(wǎng)站免受網(wǎng)絡(luò)威脅不僅僅是保護(hù)代碼，還關(guān)系到保護(hù)我們的在線(xiàn)業(yè)務(wù)乃至整個(gè)互聯(lián)社會(huì)的正常運(yùn)轉(zhuǎn)。如果網(wǎng)站被網(wǎng)絡(luò)犯罪分子用作暗地傳播惡意軟件的渠道，那么企業(yè)未來(lái)的營(yíng)收和聲譽(yù)可能會(huì)受到重創(chuàng)。因此，必須采取預(yù)防措施和零容忍策略，以確保有效防御威脅?！?/p>

Check Point 的威脅指數(shù)報(bào)告還包含從近200個(gè)由雙重勒索軟件團(tuán)伙運(yùn)營(yíng)的勒索軟件網(wǎng)站生成的情報(bào)，其中68個(gè)網(wǎng)站今年公布了受害者信息，以向不付款的目標(biāo)施壓。在上月報(bào)告的此類(lèi)事件中，Lockbit3再次位居首位，占20%，其次是 Play 和8base，分別占8% 和7%。首 次躍居前三位的 Play 聲稱(chēng)對(duì)奧克蘭市最近遭受的網(wǎng)絡(luò)攻擊負(fù)責(zé)。

上月，“Web 服務(wù)器惡意 URL 目錄遍歷漏洞”是最常被利用的漏洞，全球51% 的機(jī)構(gòu)因此遭殃，其次是“HTTP 載荷命令行注入”和“Zyxel ZyWALL 命令注入”，分別影響了全球50% 的機(jī)構(gòu)。

頭號(hào)惡意軟件家族

* 箭頭表示與上月相比的排名變化。

FakeUpdates 是上個(gè)月最猖獗的惡意軟件，全球5% 的組織受到波及，其次是 Qbot 和 Formbook，分別影響了全球3% 和2% 的機(jī)構(gòu)。

FakeUpdates – FakeUpdates（又名 SocGholish）是一種使用 JavaScript 編寫(xiě)的下載程序。它會(huì)在啟動(dòng)有效載荷之前先將其寫(xiě)入磁盤(pán)。FakeUpdates 通過(guò)許多其他惡意軟件(包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult)引致進(jìn)一步破壞。

Qbot - Qbot（又名 Qakbot）是一種多用途惡意軟件，于2008年首 次出現(xiàn)，旨在竊取用戶(hù)憑證、記錄擊鍵次數(shù)、從瀏覽器中竊取 cookie、監(jiān)視用戶(hù)的銀行業(yè)務(wù)操作，并部署更多惡意軟件。Qbot 通常通過(guò)垃圾郵件傳播，采用多種反 VM、反調(diào)試和反沙盒手段來(lái)阻礙分析和逃避檢測(cè)。從2022年開(kāi)始，它成為最猖獗的木馬之一。

Formbook – Formbook 是針對(duì) Windows 操作系統(tǒng)的信息竊取程序，于2016年首 次被發(fā)現(xiàn)。由于其強(qiáng)大的規(guī)避技術(shù)和相對(duì)較低的價(jià)格，它在地下黑客論壇中作為惡意軟件即服務(wù) （MaaS） 進(jìn)行出售。Formbook 可從各種 Web 瀏覽器中獲取憑證、收集截圖、監(jiān)控和記錄擊鍵次數(shù)并按照其 C&C 命令下載和執(zhí)行文件。

主要移動(dòng)惡意軟件

上月，Anubis 仍然位居最猖獗的移動(dòng)惡意軟件榜首，其次是 AhMyth 和 Hiddad。

Anubis – Anubis 是一種專(zhuān)為 Android 手機(jī)設(shè)計(jì)的銀行木馬惡意軟件。自最初檢測(cè)到以來(lái)，它已經(jīng)具有一些額外的功能，包括遠(yuǎn)程訪(fǎng)問(wèn)木馬 （RAT） 功能、鍵盤(pán)記錄器、錄音功能及各種勒索軟件特性。在谷歌商店提供的數(shù)百款不同應(yīng)用中均已檢測(cè)到該銀行木馬。

AhMyth – AhMyth 是一種遠(yuǎn)程訪(fǎng)問(wèn)木馬 （RAT），于2017年被發(fā)現(xiàn)，可通過(guò)應(yīng)用商店和各種網(wǎng)站上的 Android 應(yīng)用進(jìn)行傳播。當(dāng)用戶(hù)安裝這些受感染的應(yīng)用后，該惡意軟件便可從設(shè)備收集敏感信息，并執(zhí)行鍵盤(pán)記錄、屏幕截圖、發(fā)送短信和激活攝像頭等操作，這些操作通常用于竊取敏感信息。

Hiddad — Hiddad 是一種 Android 惡意軟件，能夠?qū)戏☉?yīng)用進(jìn)行重新打包，然后將其發(fā)布到第三方商店。其主要功能是顯示廣告，但它也可以訪(fǎng)問(wèn)操作系統(tǒng)內(nèi)置的關(guān)鍵安全細(xì)節(jié)。

關(guān)于 Check Point 軟件技術(shù)有限公司

Check Point 軟件技術(shù)有限公司? 是一家領(lǐng)先的云端 AI 網(wǎng)絡(luò)安全平臺(tái)提供商，為全球超過(guò)10萬(wàn)家組織提供安全保護(hù)。Check Point 利用強(qiáng)大的 AI 技術(shù)通過(guò) Infinity 平臺(tái)提高了網(wǎng)絡(luò)安全防護(hù)效率和準(zhǔn)確性，憑借業(yè)界領(lǐng)先的捕獲率實(shí)現(xiàn)了主動(dòng)式威脅預(yù)測(cè)和更智能、更快速的響應(yīng)。該綜合型平臺(tái)集多項(xiàng)云端技術(shù)于一身，包括確保工作空間安全的 Check Point Harmony、確保云安全的 Check Point CloudGuard、確保網(wǎng)絡(luò)安全的 Check Point Quantum，以及支持協(xié)同式安全運(yùn)維和服務(wù)的 Check Point Infinity Core Services。

關(guān)于 Check Point Research

Check Point Research 能夠?yàn)?Check Point Software 客戶(hù)以及整個(gè)情報(bào)界提供領(lǐng)先的網(wǎng)絡(luò)威脅情報(bào)。Check Point 研究團(tuán)隊(duì)負(fù)責(zé)收集和分析 ThreatCloud 存儲(chǔ)的全球網(wǎng)絡(luò)攻擊數(shù)據(jù)，以便在防范黑客的同時(shí)，確保所有 Check Point 產(chǎn)品都享有最 新保護(hù)措施。此外，該團(tuán)隊(duì)由100多名分析師和研究人員組成，能夠與其他安全廠商、執(zhí)法機(jī)關(guān)及各個(gè)計(jì)算機(jī)安全應(yīng)急響應(yīng)組展開(kāi)合作。

（推廣）