2020 年 9 月头号恶意软件：信息窃取恶意软件 Valak 新变体首次跻身十大恶意软件排行榜

2020 年 10 月全球领先网络安全解决方案提供商 Check Point 软件技术有限公司（纳斯达克股票代码：CHKP）的威胁情报部门 Check Point Research 发布了其 2020 年 9 月最新版《全球威胁指数》报告。研究人员发现，Valak 恶意软件更新版首次登榜，在 9 月份最流行恶意软件排行榜中排名第九。

Valak 是一种复杂的威胁，于 2019 年末首次发现，当时被归类为恶意软件加载器。但最近几个月发现的 Valak 新变体功能发生重大变化，能够使 Valak 充当针对个人和企业的信息窃取器。新版 Valak 能够从 Microsoft Exchange 邮件系统中窃取敏感信息以及用户凭证和域名证书。9 月份，Valak 通过包含恶意 .doc 文件的垃圾邮件攻击活动广泛传播。

Emotet 木马连续三个月稳居《全球威胁指数》榜首，影响了全球 14% 的组织。Qbot 木马于 8 月份首次入榜，并在 9 月份被广泛使用，从榜单第 10 位跃升至第 6 位。

Check Point 产品威胁情报与研究总监总监 Maya Horowitz 表示：“这些传播 Valak 的新攻击活动再次证明，攻击者正寻求加大对成熟恶意软件的投入。攻击者打算结合使用 Valak 和 8 月份出现的 Qbot 更新版，大规模窃取组织和个人的数据和凭证。企业应考虑部署反恶意软件解决方案，以防止此类内容传播给最终用户，并建议员工谨慎打开电子邮件，即使它们看上去像来自可靠来源，也务必要小心。”

研究团队还警告称，“MVPower DVR 远程执行代码”漏洞是最常被利用的漏洞，影响了全球 46% 的组织，其次是“Dasan GPON 路由器身份验证绕过”漏洞，影响了全球 42% 的组织。“OpenSSL TLS DTLS 心跳信息披露 (CVE-2014-0160; CVE-2014-0346)”漏洞影响了全球 36% 的组织。

头号恶意软件家族

* 箭头表示与上月相比的排名变化。

Emotet 仍然是本月最流行的恶意软件，影响了全球 14% 的组织，其次是 Trickbot 和 Dridex，分别影响了全球 4% 和 3% 的组织。

• ↔ Emotet - Emotet 是一种能够自我传播的高级模块化木马。Emotet 最初是一种银行木马，但最近被用作其他恶意软件或恶意攻击的传播程序。它使用多种方法和规避技术来确保持久性和逃避检测。此外，它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。

• ↑ Trickbot - Trickbot 是一种使用广泛的银行木马，不断添加新的功能、特性和传播向量。这让它成为一种灵活的可自定义的恶意软件，广泛用于多目的攻击活动。

• ↑Dridex - Dridex 是一种针对 Windows 平台的木马，据称可通过垃圾邮件附件下载。Dridex 不仅能够联系远程服务器并发送有关受感染系统的信息，而且还可以下载并执行从远程服务器接收的任意模块。

最常被利用的漏洞

本月最常被利用的漏洞是“MVPower DVR 远程执行代码”，影响了全球 46% 的组织，其次是“Dasan GPON 路由器身份验证绕过”漏洞，影响了全球 42% 的组织。“OpenSSL TLS DTLS 心跳信息披露 (CVE-2014-0160; CVE-2014-0346)”漏洞位居第三，影响了全球 36% 的组织。

↑MVPower DVR 远程执行代码 - 一种存在于 MVPower DVR 设备中的远程执行代码漏洞。远程攻击者可利用此漏洞，通过精心设计的请求在受感染的路由器中执行任意代码。

↑ Dasan GPON 路由器身份验证绕过 (CVE-2018-10561) – 一种存在于 Dasan GPON 路由器中的身份验证绕过漏洞。远程攻击者可成功利用此漏洞获取敏感信息并获得对被感染系统的未授权访问。

↑ OpenSSL TLS DTLS 心跳信息泄露 (CVE-2014-0160；CVE-2014-0346) - 一种存在于 OpenSSL 中的信息泄露漏洞。该漏洞是因处理 TLS/DTLS 心跳包时发生错误所致。攻击者可利用该漏洞泄露联网客户端或服务器的内存内容。

头号移动恶意软件家族

本月最流行的移动恶意软件是 xHelper，其次是 Xafecopy 和 Hiddad。

• xHelper - 自 2019 年3 月以来开始肆虐的恶意应用，用于下载其他恶意应用并显示恶意广告。该应用能够对用户隐身，并在卸载后进行自我重新安装。

•  Xafekopy - Xafecopy 木马伪装成有用的应用，例如 Battery Master，然后秘密将恶意代码加载到设备上。应用一旦被激活，Xafecopy 恶意软件便会点击采用无线应用协议 (WAP) 计费模式的网页，WAP 计费是一种直接将费用计入用户手机账单的移动支付形式。

• Hiddad - Hiddad 是一种 Android 恶意软件，能够对合法应用进行重新打包，然后将其发布到第三方商店。其主要功能是展示广告，但它也可以访问操作系统内置的关键安全细节。

Check Point《全球威胁影响指数》及其《ThreatCloud 路线图》基于 Check Point ThreatCloud 情报数据撰写而成，ThreatCloud 是打击网络犯罪的最大协作网络，可通过全球威胁传感器网络提供威胁数据和攻击趋势。ThreatCloud 数据库每天检查超过 25 亿个网站和 5 亿份文件，每天识别超过 2.5 亿起恶意软件攻击活动。