2023 年 9 月头号恶意软件：Remcos 在肆虐，Formbook 跃居榜首

2023年10月，网络安全解决方案提供商 Check Point® 软件技术有限公司（纳斯达克股票代码：CHKP）发布了其 2023 年 9 月《全球威胁指数》报告。研究人员报告了一起针对哥伦比亚企业的新型隐秘网络钓鱼攻击活动，该攻击活动旨在秘密传播 Remcos 远程访问木马 (RAT)。与此同时，在 Qbot 关闭后，Formbook 成为最猖獗的恶意软件，教育行业仍是首要攻击目标。

9 月份，Check Point Research 发现了一起针对哥伦比亚多个行业 40 多家知名公司的大规模网络钓鱼攻击活动，该攻击活动的目标是在受害者的电脑上秘密安装 Remcos RAT。Remcos 是 9 月份第二大最猖獗的恶意软件，它是一种复杂的多功能 RAT，能够完全控制受感染的电脑，并可用于各种攻击。Remcos 感染的常见后果包括数据盗窃、后续感染和账户接管。

继 Qbot 僵尸网络在八月份被执法机构控制后，上个月 Qbot 彻底跌出了头号恶意软件排行榜。这标志着 Qbot 霸榜时代的终结。Qbot 在 2023 年的大部分时间里都占据头号恶意软件排行榜榜首。

Check Point 软件技术公司研究副总裁 Maya Horowitz 表示：“在哥伦比亚发现的这起攻击活动让我们得以窥见攻击者所使用的复杂逃避技术。这也很好地说明了这些技术的入侵能力，以及为什么我们需要利用网络弹性来防范各种类型的攻击。”

CPR 还指出，“Web 服务器恶意 URL 目录遍历漏洞”是上月最常被利用的漏洞，全球 47% 的机构因此遭殃，其次是“HTTP 载荷命令行注入”和“Zyxel ZyWALL 命令注入”，分别影响了全球 42% 和 39% 的机构。

头号恶意软件家族

* 箭头表示与上月相比的排名变化。

• ↑ Formbook – Formbook 是一种针对 Windows 操作系统的信息窃取程序，于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格，它在地下黑客论坛中作为恶意软件即服务 (MaaS) 进行出售。Formbook 可从各种 Web 浏览器中获取凭证、收集截图、监控和记录击键次数并按照其 C&C 命令下载和执行文件。

• ↑ Remcos - Remcos 是一种远程访问木马 (RAT)，于 2016 年首次现身。Remcos 通过垃圾电子邮件随附的恶意 Microsoft Office 文档自行传播，旨在绕过 Microsoft Windows UAC 安全保护并以高级权限执行恶意软件。

• ↑ Emotet – Emotet 是一种能够自我传播的高级模块化木马。Emotet 曾经被用作银行木马，最近又被用作其他恶意软件或恶意攻击的传播程序。它使用多种方法和规避技术来确保持久性和逃避检测。此外，它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。

最常被利用的漏洞 

上月，“Web 服务器恶意 URL 目录遍历漏洞”是最常被利用的漏洞，全球 47% 的机构因此遭殃，其次是“HTTP 载荷命令行注入”和“Zyxel ZyWALL 命令注入”，分别影响了全球 42% 和 39% 的机构。

• ↑ Web 服务器恶意 URL 目录遍历漏洞（CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260）- 不同 Web 服务器上都存在目录遍历漏洞。这一漏洞是由于 Web 服务器中的输入验证错误所致，没有为目录遍历模式正确清理 URI。未经身份验证的远程攻击者可利用漏洞泄露或访问易受攻击的服务器上的任意文件。

• HTTP 载荷命令行注入（CVE-2021-43936，CVE-2022-24086）– 现已发现一种 HTTP 载荷命令行注入漏洞。远程攻击者可以通过向受害者发送特制的请求来利用此漏洞。攻击者可通过该漏洞在目标计算机上执行任意代码。

• ↑ Zyxel ZyWALL 命令注入 (CVE-2023-28771) - 这是一种存在于 Zyxel ZyWALL 中的命令注入漏洞。远程攻击者可利用该漏洞在受影响系统上执行任意操作系统命令。

主要移动恶意软件

上月，Anubis 仍是最猖獗的移动恶意软件，其次是 AhMyth 和 SpinOk。

• Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自最初检测到以来，它已经具有一些额外的功能，包括远程访问木马 (RAT) 功能、键盘记录器、录音功能及各种勒索软件特性。在谷歌商店提供的数百款不同应用中均已检测到该银行木马。

• AhMyth – AhMyth 是一种远程访问木马 (RAT)，于 2017 年被发现，可通过应用商店和各种网站上的 Android 应用进行传播。当用户安装这些受感染的应用后，该恶意软件便可从设备收集敏感信息，并执行键盘记录、屏幕截图、发送短信和激活摄像头等操作，这些操作通常用于窃取敏感信息。

• SpinOk - SpinOk 是一种用作间谍软件的 Android 软件模块，可收集设备上保存的文件信息，并将其传输给攻击者。截至 2023 年 5 月，该恶意模块在 100 多款 Android 应用中均有发现，下载量超过 4.21 亿次。

Check Point《全球威胁影响指数》及其《ThreatCloud 路线图》基于 Check Point ThreatCloud 情报数据撰写而成。ThreatCloud 提供的实时威胁情报来自于部署在全球网络、端点和移动设备上的数亿个传感器。AI 引擎和 Check Point 软件技术公司情报与研究部门 Check Point Research 的独家研究数据进一步丰富了这些情报内容。