?依據(jù)checkpoint的官網(wǎng)信息，在6月 Emotet 的全球影響力達到頂峰之后，Emotet 又回到了其全球影響力數(shù)字，并繼續(xù)成為最廣泛傳播的惡意軟件。由于過去看到的暑假，高峰可能已經(jīng)結(jié)束。盡管如此，Emotet 功能的新功能和改進仍在不斷被發(fā)現(xiàn)，例如開發(fā)了最新的信用卡竊取模塊，并對其傳播系統(tǒng)進行了調(diào)整。

在 7 月份，還發(fā)現(xiàn)憑據(jù)竊取程序 Snake Keylogger 從第三位跌至第八位。6 月，Snake Keylogger 正在通過惡意 Word 文檔傳播，因此其流行率下降的部分原因可能是微軟最近確認它將默認阻止宏。排在第三位的是 XMRig，這是一種用于挖掘加密貨幣的開源 CPU 軟件——表明網(wǎng)絡(luò)犯罪分子從根本上是“為了錢”，盡管他們可能聲稱有更高的動機，例如黑客行動主義。Malibot 是我們上個月報告中新增的，仍然對移動銀行用戶構(gòu)成威脅，因為它仍然是全球第三大流行的移動惡意軟件。

Emotet 繼續(xù)在月度頂級惡意軟件排行榜中占據(jù)主導(dǎo)地位。該僵尸網(wǎng)絡(luò)不斷發(fā)展以保持其持久性和逃避性。最新發(fā)展包括信用卡竊取模塊，意味著企業(yè)和個人在進行任何在線購物時都必須格外小心。此外，隨著微軟現(xiàn)在確認默認情況下會阻止宏，等待看看諸如 Snake Keylogger 之類的惡意軟件如何改變他們的策略。

“Web 服務(wù)器暴露的 Git 存儲庫信息泄露”是最常被利用的漏洞，影響了全球抽樣42% 的組織，緊隨其后的是“Apache Log4j 遠程代碼執(zhí)行”，影響全球抽樣41%的組織。“Web Servers Malicious URL Directory Traversal”一直保持在第三位，全球抽樣影響力達到 39%。

2022年7月“十惡不赦”

*箭頭表示與上個月相比排名的變化。

Emotet仍然是傳播最廣的惡意軟件，全球影響率為 7%。緊隨其后的是Formbook，它影響了全球 3% 的組織，然后是 XMRig，具有 2% 的全球影響力。

1. ? Emotet – Emotet 是一種先進的、自我傳播的模塊化木馬。Emotet 曾經(jīng)被用作銀行木馬，但最近被用作其他惡意軟件或惡意活動的分發(fā)者。它使用多種方法來維護持久性和規(guī)避技術(shù)以避免檢測。此外，它還可以通過包含惡意附件或鏈接的網(wǎng)絡(luò)釣魚垃圾郵件進行傳播。
2. ? Formbook – Formbook 是一種針對 Windows 操作系統(tǒng)的信息竊取程序，于 2016 年首次被發(fā)現(xiàn)。由于其強大的規(guī)避技術(shù)和相對較低的價格，它在地下黑客論壇中被稱為惡意軟件即服務(wù) (MaaS)。FormBook 從各種 Web 瀏覽器中獲取憑據(jù)，收集屏幕截圖、監(jiān)控和記錄擊鍵，并可以根據(jù)其 C&C 的命令下載和執(zhí)行文件。 
3. ↑ XMRig – XMRig 是用于挖掘 Monero 加密貨幣的開源 CPU 挖掘軟件。威脅者經(jīng)常濫用這種開源軟件，將其集成到他們的惡意軟件中，在受害者的設(shè)備上進行非法挖掘。
4. ↑ Ramnit – Ramnit 是一種模塊化銀行木馬，于 2010 年首次發(fā)現(xiàn)。Ramnit 竊取 Web 會話信息，使其運營商能夠竊取受害者使用的所有服務(wù)的帳戶憑據(jù)。這包括銀行以及企業(yè)和社交網(wǎng)絡(luò)帳戶。該木馬使用硬編碼域和由 DGA（域生成算法）生成的域來聯(lián)系 C&C 服務(wù)器并下載其他模塊。
5. ↑ Remcos – Remcos 是一種 RAT，于 2016 年首次出現(xiàn)。Remcos 通過附加到垃圾郵件的惡意 Microsoft Office 文檔進行傳播。它們旨在繞過 Microsoft Windows UAC 安全并以高級權(quán)限執(zhí)行惡意軟件。
6. ↑ NJRat – NJRat 是一種遠程訪問木馬，主要針對中東地區(qū)的政府機構(gòu)和組織。該木馬于 2012 年首次出現(xiàn)，具有多種功能。其中包括捕獲擊鍵、訪問受害者的相機、竊取存儲在瀏覽器中的憑據(jù)、上傳和下載文件、執(zhí)行進程和文件操作以及查看受害者的桌面。NJRat 通過網(wǎng)絡(luò)釣魚攻擊和偷渡式下載感染受害者，在命令與控制服務(wù)器軟件的支持下通過受感染的 USB 密鑰或網(wǎng)絡(luò)驅(qū)動器進行傳播。
7. ↓ Agent Tesla – Agent Tesla 是一種高級 RAT，可用作鍵盤記錄器和信息竊取器。它能夠監(jiān)控和收集受害者的鍵盤輸入、系統(tǒng)鍵盤、截屏并將憑據(jù)泄露到安裝在受害者機器上的各種軟件中。這包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook。
8. ↓ Snake Keylogger – Snake 是一種模塊化的 .NET 鍵盤記錄器和憑據(jù)竊取程序，于 2020 年 11 月下旬首次被發(fā)現(xiàn)。其主要功能是記錄用戶擊鍵并將收集到的數(shù)據(jù)傳輸給威脅參與者。它對用戶的在線安全構(gòu)成重大威脅，因為該惡意軟件可以竊取幾乎所有類型的敏感信息，并且已被證明特別具有規(guī)避性。
9. ? Glupteba – Glupteba 是一個后門，已逐漸成熟為僵尸網(wǎng)絡(luò)。到 2019 年，它包括一個通過公共比特幣列表的 C&C 地址更新機制、一個完整的瀏覽器竊取功能和一個路由器漏洞利用程序。
10. ↓ Phorpiex – Phorpiex 是 2010 年首次發(fā)現(xiàn)的僵尸網(wǎng)絡(luò)（又名 Trik），在其鼎盛時期控制了超過 100 萬臺受感染的主機。它以通過垃圾郵件活動分發(fā)其他惡意軟件系列以及助長大規(guī)模垃圾郵件和性勒索活動而聞名。

全球受攻擊最多的行業(yè)

教育/研究仍然是全球受到攻擊最多的行業(yè)，其次是政府/軍事和互聯(lián)網(wǎng)服務(wù)提供商/托管服務(wù)提供商 (ISP/MSP)。

• 教育與研究 
• 政府/軍隊
• ISP/MSP

7月份漏洞Top10

“Web 服務(wù)器暴露的 Git 存儲庫信息泄露”是最常被利用的漏洞，影響了全球 42% 的組織。緊隨其后的是“Apache Log4j 遠程代碼執(zhí)行”，它從第一名跌至第二名，影響略低，為 41%?！癢eb Servers Malicious URL Directory Traversal”一直保持在第三位，全球影響力達到 39%。

1. ↑ Web Server Exposed Git Repository Information Disclosure – Git Repository中報告了一個信息泄露漏洞。成功利用此漏洞可能會無意中泄露帳戶信息。
2. ↓ Apache Log4j 遠程代碼執(zhí)行 (CVE-2021-44228) – Apache Log4j 中存在遠程代碼執(zhí)行漏洞。成功利用此漏洞可能允許遠程攻擊者在受影響的系統(tǒng)上執(zhí)行任意代碼。
3. ? Web 服務(wù)器惡意 URL 目錄遍歷 (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254, CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) –那里在不同的 Web 服務(wù)器上存在目錄遍歷漏洞。該漏洞是由于 Web 服務(wù)器中的輸入驗證錯誤未正確清理目錄遍歷模式的 URL。成功利用允許未經(jīng)身份驗證的遠程攻擊者泄露或訪問易受攻擊的服務(wù)器上的任意文件。
4. ↑ 通過 HTTP 進行命令注入 (CVE-2021-43936,CVE-2022-24086) –報告了通過 HTTP 的命令注入漏洞。遠程攻擊者可以通過向受害者發(fā)送特制請求來利用此問題。成功的利用將允許攻擊者在目標機器上執(zhí)行任意代碼。
5. ↓ HTTP 標頭遠程代碼執(zhí)行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） ——HTTP 標頭允許客戶端和服務(wù)器通過 HTTP 請求傳遞附加信息。遠程攻擊者可能使用易受攻擊的 HTTP 標頭在受害者機器上運行任意代碼。
6. ↑ Apache Struts2 Content-Type Remote Code Execution (CVE-2015-2051) - 多個 D-Link 產(chǎn)品中報告了一個遠程代碼執(zhí)行漏洞。成功利用可能導(dǎo)致在易受攻擊的設(shè)備上執(zhí)行任意代碼。
7. ? MVPower DVR 遠程代碼執(zhí)行– MVPower DVR 設(shè)備中存在遠程代碼執(zhí)行漏洞。遠程攻擊者可以利用此弱點通過精心設(shè)計的請求在受影響的路由器中執(zhí)行任意代碼
8. ↑ Dasan GPON 路由器身份驗證繞過 (CVE-2018-10561) - Dasan GPON 路由器中存在身份驗證繞過漏洞。成功利用此漏洞將允許遠程攻擊者獲取敏感信息并未經(jīng)授權(quán)訪問受影響的系統(tǒng)。
9. ↓ PHPUnit 命令注入 (CVE-2017-9841) – PHPUnit 中存在命令注入漏洞。成功利用此漏洞將允許遠程攻擊者在受影響的系統(tǒng)中執(zhí)行任意命令。
10. ↑ PHP 復(fù)活節(jié)彩蛋信息披露 - PHP 頁面中報告了一個信息披露漏洞。該漏洞是由于 Web 服務(wù)器配置不正確造成的。遠程攻擊者可以通過向受影響的 PHP 頁面發(fā)送特制 URL 來利用此漏洞。

頂級移動惡意軟件

AlienBot是最流行的移動惡意軟件，其次是Anubis和MaliBot。

1. AlienBot – AlienBot 惡意軟件系列是用于 Android 設(shè)備的惡意軟件即服務(wù) (MaaS)，它允許遠程攻擊者首先將惡意代碼注入合法的金融應(yīng)用程序。攻擊者獲得對受害者帳戶的訪問權(quán)限，并最終完全控制他們的設(shè)備。
2. Anubis – Anubis 是專為 Android 手機設(shè)計的銀行木馬。自從最初檢測到它以來，它已經(jīng)獲得了額外的功能，包括遠程訪問木馬 (RAT) 功能、鍵盤記錄器、錄音功能和各種勒索軟件功能。它已在 Google 商店中的數(shù)百個不同應(yīng)用程序中檢測到。
3. MaliBot – Malibot 是一種 Android 信息竊取惡意軟件，已被發(fā)現(xiàn)針對西班牙和意大利的用戶。信息竊取者將自己偽裝成不同名稱的加密挖掘應(yīng)用程序，并專注于竊取財務(wù)信息、加密錢包和更多個人數(shù)據(jù)。??