2022年11月头号恶意软件：木马 Emotet 和 Qbot 影响广泛

Check Point Research报告称，Emotet在沉寂了一个夏季后卷土重来，目前再次攀升至恶意软件榜第二位。Qbot也自2021年以来首次重返指数榜单，教育行业仍然面临攻击风险。

　　2022年12月,全球领先的网络安全解决方案提供商Check Point软件技术有限公司（纳斯达克股票代码：CHKP）发布了其2022年11月最新版《全球威胁指数》报告。本月，来势凶猛的木马恶意软件Emotet在夏季短暂沉寂后再度来袭。Qbot自2021年7月以来首次位列排行榜第三位，全球影响范围为4%；Raspberry Robin攻击显著增加，这种复杂的蠕虫通常使用恶意U盘感染设备。

　　2022年7月，Check Point Research(CPR)报告称，Emotet的全球影响范围和攻击活动大幅减少，但其隐匿或许只是暂时的。不出所料，这种自我传播的木马恶意软件现已重返指数榜单，于11月成为第二大传播广泛的恶意软件，影响了全球4%的机构。尽管Emotet最初只是一种银行木马，但其模块化设计使它能够演变成其他类型的恶意软件的分发程序，并通常通过网络钓鱼攻击活动进行传播。Emotet肆虐程度的加剧在某种程度上可能是由于11月发起的一系列新的恶意垃圾邮件攻击活动所致。

　　此外，自2021年7月以来，窃取银行凭证和记录击键次数的木马Qbot首次位列头号恶意软件排行榜第三位，全球影响范围为4%。该恶意软件背后的攻击者是意图非法牟利的网络犯罪分子，他们从受感染的系统中窃取财务数据、银行凭证和Web浏览器信息。一旦系统感染得逞，Qbot攻击者便会趁机安装后门，以授予勒索软件运营组织访问权限，导致双重勒索攻击侵害。11月，Qbot利用Windows零日漏洞授予了攻击者全面访问受感染网络的权限。

　　本月，Raspberry Robin也有所增加，这是一种复杂的蠕虫，通过U盘或其他移动存储设备，附带看似合法但实际上能够感染受害者机器的Windows快捷方式文件。Microsoft发现它已经从一种广泛散播的蠕虫演变为一个分发恶意软件的感染平台，不仅与其他恶意软件家族有关，而且还有替代感染方法，不仅限于其最初的U盘传播。

　　Check Point软件技术公司研究副总裁Maya Horowitz表示：“尽管这些复杂的恶意软件在静默期潜伏起来，但过去几周的情况警醒我们，它们不会长期销声匿迹。我们大家切不可懈怠，必须在打开电子邮件、点击链接、访问网站或共享个人信息时保持警惕。”

　　CPR还指出，“Web服务器恶意URL目录遍历漏洞”是最常被利用的漏洞，全球46%的机构受到波及，紧随其后的是“Web Server Exposed Git存储库信息泄露”，全球影响范围为45%。11月，教育/研究行业仍在全球首当其冲的行业中位列第一。

　　头号恶意软件家族

　　*箭头表示与上月相比的排名变化。

　　AgentTesla仍是本月最猖獗的恶意软件，全球6%的机构因此遭殃，其次是新上榜木马Emotet和Qbot。

　　AgentTesla-AgentTesla是一种用作键盘记录器和信息窃取程序的高级RAT。它能够监控和收集受害者的键盘输入与系统键盘、截图并盗取受害者电脑上安装的各种软件（包括Google Chrome、Mozilla Firefox和Microsoft Outlook）的证书。

　　↑Emotet–Emotet是一种能够自我传播的高级模块化木马。Emotet曾经被用作银行木马，最近又被用作其他恶意软件或恶意攻击的传播程序。它使用多种方法和规避技术来确保持久性和逃避检测。此外，它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。

　　↑Qbot-Qbot（又名Qakbot）是于2008年首次出现的银行木马，旨在窃取用户银行凭证和击键纪录。它通常通过垃圾邮件传播，并采用多种反VM、反调试和反沙盒手段来阻碍分析和逃避检测。

　　主要移动恶意软件

　　Anubis仍然是本月最猖獗的移动恶意软件，其次是Hydra和AlienBot。

　　Anubis–Anubis是一种专为Android手机设计的银行木马恶意软件。自最初检测到以来，它已经具有一些额外的功能，包括远程访问木马(RAT)功能、键盘记录器和录音功能及各种勒索软件特性。在谷歌商店提供的数百款不同应用中均已检测到该银行木马。

　　Hydra-Hydra是一种银行木马，可通过要求受害者启用高危权限来窃取财务凭证。

　　AlienBot–AlienBot是一种针对Android的银行木马，作为恶意软件即服务(MaaS)在地下出售。它支持键盘记录、动态覆盖（以窃取凭证）及短消息获取（可绕开2FA），并可以利用TeamViewer模块提供其他远程控制功能。

　　Check Point《全球威胁影响指数》及其《ThreatCloud路线图》基于Check Point ThreatCloud情报数据撰写而成。ThreatCloud提供的实时威胁情报来自于部署在全球网络、端点和移动设备上的数亿个传感器。AI引擎和Check Point软件技术公司情报与研究部门Check Point Research的独家研究数据进一步丰富了情报内容。

　　如欲查看11月份十大恶意软件家族的完整列表，请访问Check Point博客。

　　关于Check Point Research

　　Check Point Research能够为Check Point Software客户以及整个情报界提供领先的网络威胁情报。Check Point研究团队负责收集和分析ThreatCloud存储的全球网络攻击数据，以便在防范黑客的同时，确保所有Check Point产品都享有最新保护措施。此外，该团队由100多名分析师和研究人员组成，能够与其他安全厂商、执法机关及各个计算机安全应急响应组展开合作。

　　关于Check Point软件技术有限公司

　　Check Point软件技术有限公司(www.checkpoint.com.cn)是一家面向全球政府和企业的领先网络安全解决方案提供商。Check Point Infinity解决方案组合对恶意软件、勒索软件及其他威胁的捕获率处于业界领先水准，可有效保护企业和公共组织免受第五代网络攻击。Infinity包含四大核心支柱，可跨企业环境提供卓越安全保护和第五代威胁防护：Check Point Harmony（面向远程用户）；Check Point CloudGuard（自动保护云环境）；Check Point Quantum（有效保护网络边界和数据中心）；Check Point Horizon(以预防为中心的统一安全管理和防御平台)—所有这一切均通过业界最全面、直观的统一安全管理进行控制。Check Point为十万多家各种规模的企业提供保护。