2020 年 8 月头号恶意软件：演化的 Qbot 木马首次跻身恶意软件排行榜

近日，网络安全解决方案提供商 Check Point 软件技术有限公司（纳斯达克股票代码：CHKP）的威胁情报部门 Check Point Research 发布了其 2020 年 8 月最新版《全球威胁指数》报告。研究人员发现，Qbot 木马（又称 Qakbot 和 Pinkslipbot）首次跻身十大恶意软件指数排行榜，成为 8 月份第十大常见的恶意软件，而 Emotet 木马则连续两个月位居榜首，影响了全球 14% 的组织。

研究人员称，Qbot 于 2008 年首次出现，并一直在不断演化，目前利用复杂的凭证盗窃和勒索软件安装技术，是有着瑞士军刀般多功能性的恶意软件。现在，Qbot 还有一个危险的新特性：专用电子邮件收集器模块。该模块可从受害者的 Outlook 客户端提取电子邮件线程，并将其上传到外部远程服务器。借此，Qbot 能够劫持受感染用户的合法电子邮件对话，然后利用这些被劫持的电子邮件发送垃圾信息，从而提高诱骗其他用户感染的几率。此外，Qbot 还支持其控制器连接到受害者的电脑，以实施未经授权的银行交易。

Check Points 研究人员发现，2020 年 3 月至 8 月出现了几次使用 Qbot 新变种发起的攻击活动，其中包括通过 Emotet 木马散播 Qbot。2020 年 7 月，此类攻击活动影响了全球 5% 的组织。

Check Point 产品威胁情报与研究总监 Maya Horowitz 表示：“攻击者一直在设法更新现有的各种成熟恶意软件。显然，他们一直在不断投入于 Qbot 的开发，企图大规模地窃取组织和个人的数据。攻击者已在通过积极的恶意垃圾邮件活动直接分发 Qbot，并使用第三方感染基础设施（如 Emotet）进一步传播威胁。企业应考虑部署反恶意软件解决方案，以防止此类内容危及最终用户，并提醒员工即使电子邮件似乎来自可靠来源，也需保持警惕。”

研究团队还警告称“Web Server Exposed Git 存储库信息泄露”是最常被利用的漏洞，全球 47% 的组织因此遭殃，其次是“MVPower DVR 远程执行代码”，影响了全球 43% 的组织。“Dasan GPON 路由器身份验证绕过 (CVE-2018-10561)”位列第三，全球影响范围为 37%。

头号恶意软件家族

* 箭头表示与上月相比的排名变化。

本月，Emotet 仍是第一大恶意软件，全球 14% 的组织受到波及，紧随其后的是 Agent Tesla 和 Formbook，分别影响了 3% 的组织。

• ↔ Emotet - Emotet 是一种能够自我传播的高级模块化木马。Emotet 最初是一种银行木马，但最近被用作其他恶意软件或恶意攻击的传播程序。它使用多种方法和规避技术来确保持久性和逃避检测。此外，它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。

• ↑ Agent Tesla – Agent Tesla 是一种用作键盘记录器和信息窃取程序的高级 RAT，能够监控和收集受害者的键盘输入与系统剪贴板、截图并盗取受害者电脑上安装的各种软件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端）的凭证。 

• ↑ Formbook - Formbook 是一种信息窃取程序，可从各种 Web 浏览器中获取凭证、收集截图、监控和记录击键次数，并按照其 C&C 命令下载和执行文件。

最常被利用的漏洞

本月，“Web Server Exposed Git 存储库信息泄露”是最常被利用的漏洞，全球 47% 的组织因此遭殃，其次是“MVPower DVR 远程执行代码”，影响了全球 43% 的组织。“Dasan GPON 路由器身份验证绕过 (CVE-2018-10561)”位列第三，全球影响范围为 37%。

↑ Web Server Exposed Git 存储库信息泄露 - Git 存储库报告的一个信息泄露漏洞。攻击者一旦成功利用该漏洞，便会使用户在无意间造成帐户信息泄露。

↓ MVPower DVR 远程执行代码 - 一种存在于 MVPower DVR 设备中的远程代码执行漏洞。远程攻击者可利用此漏洞，通过精心设计的请求在受感染的路由器中执行任意代码。

↑ Dasan GPON 路由器身份验证绕过 (CVE-2018-10561) – 一种存在于 Dasan GPON 路由器中的身份验证绕过漏洞。远程攻击者可成功利用此漏洞获取敏感信息并获得对被感染系统的未授权访问。

头号移动恶意软件家族

xHelper 是本月第一大移动恶意软件，其次是 Necro 和 Hiddad。

• xHelper - 自 2019 年 3 月以来开始肆虐的恶意应用，用于下载其他恶意应用并显示恶意广告。该应用能够对用户隐身，并在卸载后进行自我重新安装。

• Necro - Necro 是一种木马植入程序，可下载其他恶意软件、显示侵入性广告，并通过收取付费订阅费用骗取钱财。

• Hiddad - Hiddad 是一种 Android 恶意软件，能够对合法应用进行重新打包，然后将其发布到第三方商店。其主要功能是展示广告，但它也可以访问操作系统内置的关键安全细节。

Check Point《全球威胁影响指数》及其《ThreatCloud 路线图》基于 Check Point ThreatCloud 情报数据撰写而成，ThreatCloud 是打击网络犯罪的最大协作网络，可通过全球威胁传感器网络提供威胁数据和攻击趋势。ThreatCloud 数据库每天检查超过 25 亿个网站和 5 亿份文件，每天识别超过 2.5 亿起恶意软件攻击活动。