2022 年 5 月头号恶意软件：Snake 键盘记录器在跌出榜单后重返前十

2022年6月，网络安全解决方案提供商 Check Point® 软件技术有限公司（纳斯达克股票代码：CHKP）的威胁情报部门 Check Point Research (CPR) 发布了其 2022 年 5 月最新版《全球威胁指数》报告。研究人员报告称，作为一种能够自我传播的高级模块化木马，Emotet因多起大规模攻击活动而仍然是最猖獗的恶意软件。本月，Snake 键盘记录器在长时间跌出指数排行榜后跃居第八位。Snake 的主要功能是记录用户的击键次数并将收集到的数据传送给攻击者。

Snake 键盘记录器往往通过随附 docx 或 xlsx 附件（带有恶意宏命令）的电子邮件进行传播，但本月研究人员报告称，SnakeKey Logger 可以通过 PDF 文件散播。这在一定程度上可能是由于 Microsoft 在 Office 中默认阻止互联网宏程序，这意味着网络犯罪分子不得不探索 PDF 等新文件类型。事实证明，这种罕见的恶意软件传播方式非常奏效，因为有些用户认为 PDF 本身就比其他文件类型更安全。  

Emotet 正影响着全球 8% 的机构，比上个月略有增加。该恶意软件能够设法逃避检测，因而是一种非常灵活且有利可图的恶意软件。Emotet 的持久性也使得设备遭到感染后很难将其删除，因此它成为了网络犯罪分子的绝佳攻击武器。它最初是一种银行木马，通常通过网络钓鱼电子邮件传播，并能够提供其他恶意软件，进而增强其造成广泛破坏的威力。

Check Point 软件技术公司研发副总裁 Maya Horowitz 表示：“从最近的 Snake 键盘记录器攻击活动中可以看出，用户的任何在线操作都会面临网络攻击的风险，打开 PDF 文档也不例外。病毒和恶意可执行代码可能潜伏在多媒体内容和链接中，一旦用户打开 PDF 文件，恶意软件（在本例中为 Snake 键盘记录器）攻击就会发生。因此，正如用户会对 docx 或 xlsx 电子邮件附件的合法性持怀疑态度一样，人们也必须同样谨慎对待 PDF。在当今环境下，企业需要拥有一款强大的电子邮件安全解决方案来隔离和检查附件，以便从一开始就防止任何恶意文件进入网络，这一点变得空前重要。

Check Point 研究院（CPR） 也同时指出，“Web 服务器恶意 URL 目录遍历漏洞”是最常被利用的漏洞，全球 46% 的机构受到波及，紧随其后的是“Apache Log4j 远程代码执行”，全球影响范围为 46%。“Web Server Exposed Git 存储库信息泄露”位居第三，全球影响范围为 45%。教育与研究行业仍是全球网络犯罪分子的首要攻击目标。

头号恶意软件家族

* 箭头表示与上月相比的排名变化。

本月，Emotet 仍是第一大恶意软件，全球 8% 的机构因此遭殃，其次是 Formbook 和 Agent Tesla，两者均影响了全球 2% 的机构。

1. ↔ Emotet – Emotet 是一种能够自我传播的高级模块化木马。Emotet 曾经被用作银行木马，但最近又被用作其他恶意软件或恶意攻击的传播程序。它使用多种方法和规避技术来确保持久性和逃避检测。此外，它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。
2. ↔ Formbook – Formbook 是针对 Windows 操作系统的信息窃取程序，于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格，它在地下黑客论坛中作为恶意软件即服务 (MaaS) 进行出售。Formbook 可从各种 Web 浏览器中获取凭证、收集截图、监控和记录击键次数，并按照其 C&C 命令下载和执行文件。 
3. ↔ Agent Tesla – Agent Tesla 是一种用作键盘记录器和信息窃取程序的高级 RAT，能够监控和收集受害者的键盘输入与系统剪贴板、截图并盗取受害者电脑上安装的各种软件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook）的证书。

如欲查看 5 月份十大恶意软件家族的完整列表，请访问 Check Point 博客。 

全球首当其冲的行业

本月，教育/研究行业是全球首要攻击目标，其次是政府/军事部门和互联网服务提供商/托管服务提供商 (ISP/MSP)。  

1. 教育和研究
2. 政府/军事
3. 互联网服务提供商和托管服务提供商 (ISP/MSP)

最常被利用的漏

本月，“Web 服务器恶意 URL 目录遍历漏洞”是最常被利用的漏洞，全球 46% 的机构受到波及，紧随其后的是“Apache Log4j 远程代码执行”，全球影响范围为 46%。“Web Server Exposed Git 存储库信息泄露”位居第三，全球影响范围为 45%。

1. ↑ Web 服务器恶意 URL 目录遍历漏洞（CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260）- 不同 Web 服务器上都存在目录遍历漏洞。这一漏洞是由于 Web 服务器中的输入验证错误所致，没有为目录遍历模式正确清理 URL。未经身份验证的远程攻击者可利用漏洞泄露或访问易受攻击的服务器上的任意文件。
2. ↔ Apache Log4j 远程代码执行 (CVE-2021-44228) - 一种存在于 Apache Log4j 中的远程代码执行漏洞。远程攻击者可利用这一漏洞在受影响系统上执行任意代码。
3. ↓ Web Server Exposed Git 存储库信息泄露 - Git 存储库报告的一个信息泄露漏洞。攻击者一旦成功利用该漏洞，便会使用户在无意间造成帐户信息泄露。

主要移动恶意软件

AlienBot 是本月最猖獗的移动恶意软件，其次是 FluBot 和 xHelper。

1. AlienBot - AlienBot 恶意软件家族是一种针对 Android 设备的恶意软件即服务 (MaaS)，它允许远程攻击者首先将恶意代码注入合法的金融应用中。攻击者能够获得对受害者帐户的访问权限，并最终完全控制其设备。
2. FluBot - FluBot 是一种通过网络钓鱼短消息（短信诈骗）传播的 Android 恶意软件，通常冒充物流配送品牌。在用户点击消息中的链接后，他们就会被重定向到包含 FluBot 的虚假应用的下载。安装后，该恶意软件的多种功能可收集凭证并支持实施短信诈骗操作，包括上传联系人列表以及向其他电话号码发送短消息。
3. xHelper - 自 2019 年3 月以来开始肆虐的恶意应用，用于下载其他恶意应用并显示恶意广告。该应用能够对用户隐身，并在卸载后进行自我重新安装。

Check Point《全球威胁影响指数》及其《ThreatCloud 路线图》基于 Check Point ThreatCloud 情报数据撰写而成。ThreatCloud 提供的实时威胁情报来自于部署在全球网络、端点和移动设备上的数亿个传感器。AI 引擎和 Check Point 软件技术公司情报与研究部门 Check Point Research 的独家研究数据进一步丰富了情报内容。