2023 年 2 月,網(wǎng)絡(luò)安全解決方案提供商 Check Point? 軟件技術(shù)有限公司（納斯達(dá)克股票代碼：CHKP）發(fā)布了其 2023 年 1 月《全球威脅指數(shù)》報(bào)告。上月，在品牌劫持事件增加后，信息竊取程序 Vidar 重返前十排行榜，位列第七；中東和北非地區(qū)爆發(fā)了一場大型 njRAT 惡意軟件網(wǎng)絡(luò)釣魚攻擊活動(dòng)。

1 月，信息竊取程序 Vidar 被發(fā)現(xiàn)通過與遠(yuǎn)程桌面軟件公司 AnyDesk 有關(guān)的虛假域名進(jìn)行傳播。該惡意軟件對(duì)各種熱門應(yīng)用進(jìn)行 URL 劫持，將用戶重定向到聲稱是 AnyDesk 官方網(wǎng)站的 IP 地址。一旦下載，該惡意軟件就會(huì)偽裝成合法安裝程序來竊取敏感信息，如登錄憑證、密碼、加密貨幣錢包數(shù)據(jù)和銀行信息。

研究人員還發(fā)現(xiàn)了一場名為 Earth Bogle 的大型攻擊活動(dòng)，該活動(dòng)針對(duì)整個(gè)中東和北非地區(qū)的攻擊目標(biāo)散播 njRAT 惡意軟件。攻擊者使用含有地緣政治主題的網(wǎng)絡(luò)釣魚電子郵件，誘使用戶打開惡意附件。一旦下載并打開，該木馬便會(huì)感染設(shè)備，允許攻擊者實(shí)施各種入侵活動(dòng)，以竊取敏感信息。

Check Point 軟件技術(shù)公司研究副總裁 Maya Horowitz 表示：“我們?cè)俅慰吹綈阂廛浖F(tuán)伙利用可信品牌傳播病毒，意在竊取個(gè)人身份信息。人們務(wù)必要注意其所點(diǎn)擊的鏈接，確保它們是合法 URL。請(qǐng)留意安全掛鎖圖標(biāo)，這表明網(wǎng)站裝有最新 SSL 證書，而且還需注意任何不易察覺的拼寫錯(cuò)誤，這可能表明該網(wǎng)站是惡意網(wǎng)站。” 

頭號(hào)惡意軟件家族

* 箭頭表示與上月相比的排名變化。

Qbot 和 Lokibot 是上月最猖獗的惡意軟件，分別影響了全球超過 6% 的機(jī)構(gòu)，其次是 AgentTesla，全球影響范圍為 5%。

• ↑ Qbot - Qbot（又名 Qakbot）是一種銀行木馬，于 2008 年首次出現(xiàn)，旨在竊取用戶的銀行憑證和擊鍵記錄。Qbot 通常通過垃圾郵件傳播，采用多種反 VM、反調(diào)試和反沙盒手段來阻礙分析和逃避檢測。
• ↑ Lokibot - LokiBot 是一種商品信息竊取程序，于 2016 年 2 月首次發(fā)現(xiàn)，具有 Windows 和 Android 操作系統(tǒng)版本。它從各種應(yīng)用、網(wǎng)絡(luò)瀏覽器、電子郵件客戶端、IT 管理工具（如 PuTTY）等獲取憑證。LokiBot 在黑客論壇上出售，據(jù)信其源代碼已泄露，因此出現(xiàn)了許多變體。自 2017 年底以來，一些 Android 版本的 LokiBot 不僅具有信息竊取功能，而且還有勒索軟件功能。
• ↑AgentTesla – AgentTesla 是一種用作鍵盤記錄器和信息竊取程序的高級(jí) RAT，能夠監(jiān)控和收集受害者的鍵盤輸入與系統(tǒng)剪貼板、截圖并盜取受害者電腦上安裝的各種軟件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端）的證書。

最常被利用的漏洞 

上月，“Web Server Exposed Git 存儲(chǔ)庫信息泄露”是最常被利用的漏洞，全球 46% 的機(jī)構(gòu)因此受到影響，其次是“HTTP 標(biāo)頭遠(yuǎn)程執(zhí)行代碼”，影響了全球 42% 的機(jī)構(gòu)?！癕VPower DVR 遠(yuǎn)程代碼執(zhí)行”位列第三，全球影響范圍為 39%。

• ? Web Server Exposed Git 存儲(chǔ)庫信息泄露 - Git 存儲(chǔ)庫報(bào)告的一個(gè)信息泄露漏洞。攻擊者一旦成功利用該漏洞，便會(huì)造成帳戶信息的無意泄露。
• ↑ HTTP 標(biāo)頭遠(yuǎn)程代碼執(zhí)行 （CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） - HTTP 標(biāo)頭允許客戶端和服務(wù)器傳遞帶 HTTP 請(qǐng)求的其他信息。遠(yuǎn)程攻擊者可能會(huì)使用存在漏洞的 HTTP 標(biāo)頭在受感染機(jī)器上運(yùn)行任意代碼。
• ↑ MVPower DVR 遠(yuǎn)程執(zhí)行代碼 - 一種存在于 MVPower DVR 設(shè)備中的遠(yuǎn)程代碼執(zhí)行漏洞。遠(yuǎn)程攻擊者可利用此漏洞，通過精心設(shè)計(jì)的請(qǐng)求在受感染的路由器中執(zhí)行任意代碼。

主要移動(dòng)惡意軟件

上月，Anubis 仍是最猖獗的移動(dòng)惡意軟件，其次是 Hiddad 和 AhMyth。

• Anubis – Anubis 是一種專為 Android 手機(jī)設(shè)計(jì)的銀行木馬惡意軟件。自最初檢測到以來，它已經(jīng)具有一些額外的功能，包括遠(yuǎn)程訪問木馬 (RAT) 功能、鍵盤記錄器、錄音功能及各種勒索軟件特性。在谷歌商店提供的數(shù)百款不同應(yīng)用中均已檢測到該銀行木馬。
• Hiddad - Hiddad 是一種 Android 惡意軟件，能夠?qū)戏☉?yīng)用進(jìn)行重新打包，然后將其發(fā)布到第三方商店。其主要功能是顯示廣告，但它也可以訪問操作系統(tǒng)內(nèi)置的關(guān)鍵安全細(xì)節(jié)。
• AhMyth – AhMyth 是一種遠(yuǎn)程訪問木馬 (RAT)，于 2017 年被發(fā)現(xiàn)，可通過應(yīng)用商店和各種網(wǎng)站上的 Android 應(yīng)用進(jìn)行傳播。當(dāng)用戶安裝這些受感染的應(yīng)用后，該惡意軟件便可從設(shè)備收集敏感信息，并執(zhí)行鍵盤記錄、屏幕截圖、發(fā)送短信和激活攝像頭等操作，這些操作通常用于竊取敏感信息。

Check Point《全球威脅影響指數(shù)》及其《ThreatCloud 路線圖》基于 Check Point ThreatCloud 情報(bào)數(shù)據(jù)撰寫而成。ThreatCloud 提供的實(shí)時(shí)威脅情報(bào)來自于部署在全球網(wǎng)絡(luò)、端點(diǎn)和移動(dòng)設(shè)備上的數(shù)億個(gè)傳感器。AI 引擎和 Check Point 軟件技術(shù)公司情報(bào)與研究部門 Check Point Research 的獨(dú)家研究數(shù)據(jù)進(jìn)一步豐富了這些情報(bào)內(nèi)容。