Check Point 研究人員發(fā)現(xiàn)，危險的新型 Qbot 變種正通過惡意垃圾郵件攻擊活動傳播，實施憑證盜竊、勒索軟件安裝和未授權銀行交易。

近日，全球領先的網(wǎng)絡安全解決方案提供商Check Point軟件技術有限公司（納斯達克股票代碼：CHKP）的威脅情報部門 Check Point Research 發(fā)布了其 2020 年 8 月最新版《全球威脅指數(shù)》報告。研究人員發(fā)現(xiàn)，Qbot 木馬（又稱 Qakbot 和 Pinkslipbot）首次躋身十大惡意軟件指數(shù)排行榜，成為 8 月份第十大常見的惡意軟件，而 Emotet 木馬則連續(xù)兩個月位居榜首，影響了全球 14％ 的組織。

研究人員稱，Qbot 于 2008 年首次出現(xiàn)，并一直在不斷演化，目前利用復雜的憑證盜竊和勒索軟件安裝技術，是有著瑞士軍刀般多功能性的惡意軟件�，F(xiàn)在，Qbot 還有一個危險的新特性：專用電子郵件收集器模塊。該模塊可從受害者的 Outlook 客戶端提取電子郵件線程，并將其上傳到外部遠程服務器。借此，Qbot 能夠劫持受感染用戶的合法電子郵件對話，然后利用這些被劫持的電子郵件發(fā)送垃圾信息，從而提高誘騙其他用戶感染的幾率。此外，Qbot 還支持其控制器連接到受害者的電腦，以實施未經(jīng)授權的銀行交易。

Check Points 研究人員發(fā)現(xiàn)，2020 年 3 月至 8 月出現(xiàn)了幾次使用 Qbot 新變種發(fā)起的攻擊活動，其中包括通過 Emotet 木馬散播 Qbot。2020 年 7 月，此類攻擊活動影響了全球 5％ 的組織。

Check Point 產(chǎn)品威脅情報與研究總監(jiān) Maya Horowitz 表示：“攻擊者一直在設法更新現(xiàn)有的各種成熟惡意軟件。顯然，他們一直在不斷投入于 Qbot 的開發(fā)，企圖大規(guī)模地竊取組織和個人的數(shù)據(jù)。攻擊者已在通過積極的惡意垃圾郵件活動直接分發(fā) Qbot，并使用第三方感染基礎設施（如 Emotet）進一步傳播威脅。企業(yè)應考慮部署反惡意軟件解決方案，以防止此類內(nèi)容危及最終用戶，并提醒員工即使電子郵件似乎來自可靠來源，也需保持警惕�！�

研究團隊還警告稱“Web Server Exposed Git 存儲庫信息泄露”是最常被利用的漏洞，全球 47％ 的組織因此遭殃，其次是“MVPower DVR 遠程執(zhí)行代碼”，影響了全球 43％ 的組織。“Dasan GPON 路由器身份驗證繞過 （CVE－2018－10561）”位列第三，全球影響范圍為 37％。

頭號惡意軟件家族

＊ 箭頭表示與上月相比的排名變化。

本月，Emotet仍是第一大惡意軟件，全球 14％ 的組織受到波及，緊隨其后的是Agent Tesla 和Formbook，分別影響了 3％ 的組織。

Emotet－ Emotet 是一種能夠自我傳播的高級模塊化木馬。Emotet 最初是一種銀行木馬，但最近被用作其他惡意軟件或惡意攻擊的傳播程序。它使用多種方法和規(guī)避技術來確保持久性和逃避檢測。此外，它還可以通過包含惡意附件或鏈接的網(wǎng)絡釣魚垃圾郵件進行傳播。

↑Agent Tesla– Agent Tesla 是一種用作鍵盤記錄器和信息竊取程序的高級 RAT，能夠監(jiān)控和收集受害者的鍵盤輸入與系統(tǒng)剪貼板、截圖并盜取受害者電腦上安裝的各種軟件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端）的憑證。

↑Formbook －Formbook 是一種信息竊取程序，可從各種 Web 瀏覽器中獲取憑證、收集截圖、監(jiān)控和記錄擊鍵次數(shù)，并按照其 C＆C 命令下載和執(zhí)行文件。

最常被利用的漏洞

本月，“Web Server Exposed Git 存儲庫信息泄露”是最常被利用的漏洞，全球 47％ 的組織因此遭殃，其次是“MVPowerDVR 遠程執(zhí)行代碼”，影響了全球 43％ 的組織。“DasanGPON 路由器身份驗證繞過（CVE－2018－10561）”位列第三，全球影響范圍為 37％。

↑Web Server Exposed Git 存儲庫信息泄露－ Git 存儲庫報告的一個信息泄露漏洞。攻擊者一旦成功利用該漏洞，便會使用戶在無意間造成帳戶信息泄露。

↓MVPowerDVR 遠程執(zhí)行代碼－ 一種存在于 MVPower DVR 設備中的遠程代碼執(zhí)行漏洞。遠程攻擊者可利用此漏洞，通過精心設計的請求在受感染的路由器中執(zhí)行任意代碼。

↑DasanGPON 路由器身份驗證繞過（CVE－2018－10561）– 一種存在于 Dasan GPON 路由器中的身份驗證繞過漏洞。遠程攻擊者可成功利用此漏洞獲取敏感信息并獲得對被感染系統(tǒng)的未授權訪問。

頭號移動惡意軟件家族

xHelper是本月第一大移動惡意軟件，其次是 Necro和 Hiddad。

xHelper－ 自 2019 年 3 月以來開始肆虐的惡意應用，用于下載其他惡意應用并顯示惡意廣告。該應用能夠?qū)τ脩綦[身，并在卸載后進行自我重新安裝。

Necro － Necro 是一種木馬植入程序，可下載其他惡意軟件、顯示侵入性廣告，并通過收取付費訂閱費用騙取錢財。

Hiddad－ Hiddad 是一種 Android 惡意軟件，能夠?qū)�合法應用進行重新打包，然后將其發(fā)布到第三方商店。其主要功能是展示廣告，但它也可以訪問操作系統(tǒng)內(nèi)置的關鍵安全細節(jié)。

Check Point《全球威脅影響指數(shù)》及其《ThreatCloud 路線圖》基于 Check Point ThreatCloud 情報數(shù)據(jù)撰寫而成，ThreatCloud 是打擊網(wǎng)絡犯罪的最大協(xié)作網(wǎng)絡，可通過全球威脅傳感器網(wǎng)絡提供威脅數(shù)據(jù)和攻擊趨勢。ThreatCloud 數(shù)據(jù)庫每天檢查超過 25 億個網(wǎng)站和 5 億份文件，每天識別超過 2．5 億起惡意軟件攻擊活動。

如欲查看 8 月份十大惡意軟件家族的完整列表，請訪問 Check Point 博客。

關于Check Point Research

Check Point Research 能夠為 Check Point Software 客戶以及整個情報界提供領先的網(wǎng)絡威脅情報。Check Point 研究團隊負責收集和分析 ThreatCloud 存儲的全球網(wǎng)絡攻擊數(shù)據(jù)，以便在防范黑客的同時，確保所有 Check Point 產(chǎn)品都享有最新保護措施。此外，該團隊由 100 多名分析師和研究人員組成，能夠與其他安全廠商、執(zhí)法機關及各個計算機安全應急響應組展開合作。

關于CheckPoint 軟件技術有限公司

Check Point 軟件技術有限公司（www．checkpoint．com） 是一家面向全球企業(yè)用戶業(yè)內(nèi)領先的信息安全解決方案提供商。Check Point 解決方案對惡意軟件、勒索軟件和高級目標威脅的防范率處于業(yè)界領先水準，可有效保護客戶免受第五代網(wǎng)絡攻擊。Check Point 為業(yè)界提供前瞻性多級安全架構(gòu) Infinity Total Protection，這一組合產(chǎn)品架構(gòu)具備第五代高級威脅防御能力，可全面保護企業(yè)的云、網(wǎng)絡，移動，工業(yè)互聯(lián)網(wǎng)和IOT系統(tǒng)。