2022 年 9 月头号恶意软件：Formbook 位列榜首，Vidar 排名骤升七位

2022 年 10 月，网络安全解决方案提供商 Check Point® 软件技术有限公司（纳斯达克股票代码：CHKP）的威胁情报部门 Check Point Research (CPR) 发布了其 2022 年 9 月最新版《全球威胁指数》报告。CPR 报告称，Formbook 仍是最猖獗的恶意软件，影响了全球 3% 的机构；Vidar 目前位列第八位，比 8 月份上升了 7 位。

Vidar 是一种信息窃取程序，可为攻击者提供后门访问权限，支持其从受感染的设备中窃取敏感的银行信息、登录凭证、IP 地址、浏览器历史记录及加密钱包。其肆虐程度在一场恶意攻击活动后加剧，该攻击活动利用虚拟 Zoom 网站（例如 zoomus[.]website 和 zoom-download[.]space）诱骗无辜用户下载恶意软件。Formbook 是针对 Windows 操作系统的信息窃取程序，仍然位居榜首。

Check Point 软件技术公司研究副总裁 Maya Horowitz 表示：“就 9 月最猖獗的恶意软件而言，Vidar 在长时间跌出榜单后此次跃居前十。Zoom 用户需要对欺诈性链接保持警惕，因为最近 Vidar 恶意软件通过这种方式进行传播。务必时刻留意 URL 中的不一致之处或拼写错误的单词。如果它看似可疑，那很可能就有问题。”

CPR 还指出，“Web Server Exposed Git 存储库信息泄露”是最常被利用的漏洞，全球 43% 的机构因此遭殃，紧随其后的是“Apache Log4j 远程代码执行”（从第一位跌至第二位），影响了 42% 的机构。9 月，教育/研究行业仍在全球受害行业中首当其冲。

头号恶意软件家族

* 箭头表示与上月相比的排名变化。

本月，Formbook 仍是最猖獗的恶意软件，全球 3% 的机构受到波及，其次是 XMRig 和 AgentTesla，两者均影响了全球 2% 的机构。

• ↔ FormBook – FormBook 是针对 Windows 操作系统的信息窃取程序，于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格，它在地下黑客论坛中作为恶意软件即服务 (MaaS) 进行出售。Formbook 可从各种 Web 浏览器中获取凭证、收集截图、监控和记录击键次数，并按照其 C&C 命令下载和执行文件。
• ↑ XMRig - XMRig 是一种用于挖掘门罗币加密货币的开源 CPU 软件。攻击者经常滥用此开源软件，并将其集成到恶意软件中，从而在受害者的设备上进行非法挖矿。
• ↓ AgentTesla - AgentTesla 是一种用作键盘记录器和信息窃取程序的高级 RAT。它能够监控和收集受害者的键盘输入与系统键盘、截图并盗取受害者电脑上安装的各种软件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端）的证书。

最常被利用的漏洞 

本月，“Web Server Exposed Git 存储库信息泄露”是最常被利用的漏洞，全球 43% 的企业与机构因此遭殃。其次是“Apache Log4j 远程代码执行”（从第一位跌至第二位），影响了 42% 的机构。“HTTP 载荷命令行注入”位列第三，全球影响范围为 40%。

• ↑ Web Server Exposed Git 存储库信息泄露 - Git 存储库报告的一个信息泄露漏洞。攻击者一旦成功利用该漏洞，便会使用户在无意间造成帐户信息泄露。
• ↓ Apache Log4j 远程代码执行 (CVE-2021-44228) - 一种存在于 Apache Log4j 中的远程代码执行漏洞。远程攻击者可利用这一漏洞在受影响系统上执行任意代码。
• ↑ HTTP 载荷命令行注入（CVE-2021-43936，CVE-2022-24086）– 现已发现一种 HTTP 载荷命令行注入漏洞。远程攻击者可以通过向受害者发送特制的请求来利用此漏洞。攻击者可通过该漏洞在目标计算机上执行任意代码。

主要移动恶意软件

本月，Anubis 跃居传播最广泛的移动恶意软件榜首，其次是 Hydra 和 Joker。

• Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自最初检测到以来，它已经具有一些额外的功能，包括远程访问木马 (RAT) 功能、键盘记录器和录音功能及各种勒索软件特性。在谷歌商店提供的数百款不同应用中均已检测到该银行木马。
• Hydra - Hydra 是一种银行木马，可通过要求受害者启用高危权限来窃取财务凭证。

• Joker – 一种存在于 Google Play 中的 Android 间谍软件，可窃取短消息、联系人列表及设备信息。此外，该恶意软件还能够在未经受害者同意或不知情的情况下为他们注册付费服务。

Check Point《全球威胁影响指数》及其《ThreatCloud 路线图》基于 Check Point ThreatCloud 情报数据撰写而成。ThreatCloud 提供的实时威胁情报来自于部署在全球网络、端点和移动设备上的数亿个传感器。AI 引擎和 Check Point 软件技术公司情报与研究部门 Check Point Research 的独家研究数据进一步丰富了情报内容。