checkpoint研究人员发现,可窃取wi-fi密码的新版agenttesla的攻击利用率激增,而dridex银行木马成为最常见的威胁
近日,全球领先的网络安全解决方案提供商checkpoint 软件技术有限公司(纳斯达克股票代码:chkp)的威胁情报部门checkpointresearch发布了其2020年4月最新版《全球威胁指数》报告。研究人员发现,多起covid-19相关垃圾邮件攻击活动正在传播agenttesla远程访问木马的新变种,使这一恶意软件跃升至指数报告排行榜第三位,波及全球3%的组织。
agenttesla的新变种已经过修改,可从目标电脑窃取wi-fi密码及其他信息,例如outlook电子邮件证书。4月,agenttesla作为附件用于多起covid-19相关恶意垃圾邮件攻击活动,以提供有关疫情的有趣信息为幌子,企图诱骗受害者下载恶意文件。其中一起攻击活动声称邮件由世界卫生组织发送,主题为“紧急信息通报函:首次covid-19疫苗人体测试/结果更新”。这揭示了黑客将如何利用全球新闻事件和公众关切来提高其攻击成功率。
3月,知名银行木马dridex首次跻身威胁指数报告排行榜前十位,并于4月产生更大影响。该木马从上个月的指数报告排行榜第3位一举跃居首位,影响了全球4%的组织。3月最猖獗的恶意软件xmrig跌至第二位。
checkpoint产品威胁情报与研究总监mayahorowitz表示:“4月发生的多起agenttesla恶意垃圾邮件攻击活动充分表明,网络犯罪分子借新闻事件诱骗毫无戒心的受害者点击受感染链接,手段十分狡猾诡诈。agenttesla和dridex均跻身威胁指数报告排行榜前三位,由此可见,犯罪分子正专注于窃取用户的个人和业务数据及证书,以从中牟利。因此,各组织必须积极主动地采取灵活方法来提醒用户,让其员工随时了解最新工具和技术,尤其是在越来越多的员工居家办公的特殊时期。”
研究团队还警告称“mvpowerdvr远程执行代码”仍然是最常被利用的漏洞,影响范围不断扩大,全球46%的组织受到波及。紧随其后的是“openssltlsdtls心跳信息泄露”,全球影响范围为41%,其次是“http载荷命令行注入”,影响了全球40%的组织。
头号恶意软件家族
*箭头表示与上月相比的排名变化。
本月,dridex跃居榜首,全球4%的组织受到波及,其次是xmrig和agenttesla,分别影响了全球4%和3%的组织。
1.↑dridex–dridex是一种针对windows平台的木马,据说通过垃圾邮件附件进行下载。dridex不仅能够联系远程服务器并发送有关受感染系统的信息,而且还可以下载并执行从远程服务器接收的任意模块。
2.↓xmrig–xmrig是一种开源cpu挖矿软件,用于门罗币加密货币的挖掘,首次出现时间为2017年5月。
3.↑agenttesla–agenttesla是一种用作键盘记录器和信息窃取程序的高级rat,能够监控和收集受害者的键盘输入与系统剪贴板、截图并盗取受害者电脑上安装的各种软件(包括googlechrome、mozillafirefox和microsoftoutlook电子邮件客户端)的证书。
最常被利用的漏洞
本月,“mvpowerdvr远程执行代码”是最常被利用的漏洞,全球46%的组织因此遭殃,其次是“openssltlsdtls心跳信息泄露”,全球影响范围为41%。“http载荷命令行注入”漏洞位列第三,影响了全球40%的组织,主要出现在利用“draytek”路由器和交换机设备(cve-2020-8515)的零日漏洞发起的攻击中。
1.mvpowerdvr远程执行代码–一种存在于mvpowerdvr设备中的远程代码执行漏洞。远程攻击者可利用此漏洞,通过精心设计的请求在受感染的路由器中执行任意代码。
2.↑openssltlsdtls心跳信息泄露(cve-2014-0160;cve-2014-0346)–一种存在于openssl中的信息泄露漏洞。该漏洞是因处理tls/dtls心跳包时发生错误所致。攻击者可利用该漏洞泄露联网客户端或服务器的内存内容。
3.↑http载荷命令行注入–通过向受害者发送特制请求,远程攻击者便可利用此漏洞。攻击者可通过该漏洞在目标计算机上执行任意代码。
头号恶意软件家族-移动恶意软件
本月,xhelper仍位列最猖獗的移动恶意软件榜首,其次是lotoor和androidbauts。
1.xhelper-自2019年3月以来开始肆虐的恶意应用,用于下载其他恶意应用并显示恶意广告。该应用能够对用户隐身,并在卸载后进行自我重新安装。
2.lotoor-lotoor是一种黑客工具,能够利用android操作系统漏洞在入侵的移动设备上获得根权限。
3.androidbauts–androidbauts是一种针对android用户的广告软件,可以盗取imei、imsi、gps位置和其他设备信息,并允许在移动设备上安装第三方应用和快捷方式。
checkpoint《全球威胁影响指数》及其《threatcloud路线图》基于checkpointthreatcloud情报数据撰写而成,threatcloud是打击网络犯罪的最大协作网络,可通过全球威胁传感器网络提供威胁数据和攻击趋势。threatcloud数据库每天检查超过25亿个网站和5亿份文件,每天识别超过2.5亿起恶意软件攻击活动。
如欲查看4月份十大恶意软件家族的完整列表,请访问checkpoint 博客。
关于checkpoint软件技术有限公司
checkpoint软件技术有限公司(www.checkpoint.com)是一家面向全球企业用户业内领先的信息安全解决方案提供商。checkpoint解决方案对恶意软件、勒索软件和高级目标威胁的防范率处于业界领先水准,可有效保护客户免受第五代网络攻击。checkpoint为业界提供前瞻性多级安全架构infinitytotalprotection,这一组合产品架构具备第五代高级威胁防御能力,可全面保护企业的云、网络,移动,工业互联网和iot系统。
关于checkpointresearch
checkpointresearch能够为checkpointsoftware客户以及整个情报界提供领先的网络威胁情报。checkpoint研究团队负责收集和分析threatcloud存储的全球网络攻击数据,以便在防范黑客的同时,确保所有checkpoint产品都享有最新保护措施。此外,该团队由100多名分析师和研究人员组成,能够与其他安全厂商、执法机关及各个计算机安全应急响应组展开合作。
