2022 年 11 月头号恶意软件：木马 Emotet 和 Qbot 影响广泛

2022 年 12 月 ，网络安全解决方案提供商 Check Point® 软件技术有限公司（纳斯达克股票代码：CHKP）发布了其 2022 年 11 月最新版《全球威胁指数》报告。本月，来势凶猛的木马恶意软件 Emotet 在夏季短暂沉寂后再度来袭。Qbot 自 2021 年 7 月以来首次位列排行榜第三位，全球影响范围为 4%；Raspberry Robin 攻击显著增加，这种复杂的蠕虫通常使用恶意 U 盘感染设备。

2022 年 7 月，Check Point Research (CPR) 报告称，Emotet 的全球影响范围和攻击活动大幅减少，但其隐匿或许只是暂时的。不出所料，这种自我传播的木马恶意软件现已重返指数榜单，于 11 月成为第二大传播广泛的恶意软件，影响了全球 4% 的机构。尽管 Emotet 最初只是一种银行木马，但其模块化设计使它能够演变成其他类型的恶意软件的分发程序，并通常通过网络钓鱼攻击活动进行传播。Emotet 肆虐程度的加剧在某种程度上可能是由于 11 月发起的一系列新的恶意垃圾邮件攻击活动所致。

此外，自 2021 年 7 月以来，窃取银行凭证和记录击键次数的木马 Qbot 首次位列头号恶意软件排行榜第三位，全球影响范围为 4%。该恶意软件背后的攻击者是意图非法牟利的网络犯罪分子，他们从受感染的系统中窃取财务数据、银行凭证和 Web 浏览器信息。一旦系统感染得逞，Qbot 攻击者便会趁机安装后门，以授予勒索软件运营组织访问权限，导致双重勒索攻击侵害。11 月，Qbot 利用 Windows 零日漏洞授予了攻击者全面访问受感染网络的权限。

本月，Raspberry Robin 也有所增加，这是一种复杂的蠕虫，通过U盘或其他移动存储设备，附带看似合法但实际上能够感染受害者机器的 Windows 快捷方式文件。Microsoft 发现它已经从一种广泛散播的蠕虫演变为一个分发恶意软件的感染平台，不仅与其他恶意软件家族有关，而且还有替代感染方法，不仅限于其最初的 U 盘传播。

Check Point 软件技术公司研究副总裁 Maya Horowitz 表示：“尽管这些复杂的恶意软件在静默期潜伏起来，但过去几周的情况警醒我们，它们不会长期销声匿迹。我们大家切不可懈怠，必须在打开电子邮件、点击链接、访问网站或共享个人信息时保持警惕。”

CPR 还指出，“Web 服务器恶意 URL 目录遍历漏洞”是最常被利用的漏洞，全球 46% 的机构受到波及，紧随其后的是“Web Server Exposed Git 存储库信息泄露”，全球影响范围为 45%。11 月，教育/研究行业仍在全球首当其冲的行业中位列第一。

头号恶意软件家族

* 箭头表示与上月相比的排名变化。

AgentTesla 仍是本月最猖獗的恶意软件，全球 6% 的机构因此遭殃，其次是新上榜木马 Emotet 和 Qbot。

• ↔ AgentTesla - AgentTesla 是一种用作键盘记录器和信息窃取程序的高级 RAT。它能够监控和收集受害者的键盘输入与系统键盘、截图并盗取受害者电脑上安装的各种软件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook）的证书。 

• ↑ Emotet – Emotet 是一种能够自我传播的高级模块化木马。Emotet 曾经被用作银行木马，最近又被用作其他恶意软件或恶意攻击的传播程序。它使用多种方法和规避技术来确保持久性和逃避检测。此外，它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。
• ↑ Qbot - Qbot（又名 Qakbot）是于 2008 年首次出现的银行木马，旨在窃取用户银行凭证和击键纪录。它通常通过垃圾邮件传播，并采用多种反 VM、反调试和反沙盒手段来阻碍分析和逃避检测。

主要移动恶意软件

Anubis 仍然是本月最猖獗的移动恶意软件，其次是 Hydra 和 AlienBot。

• Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。 自最初检测到以来，它已经具有一些额外的功能，包括远程访问木马 (RAT) 功能、键盘记录器和录音功能及各种勒索软件特性。在谷歌商店提供的数百款不同应用中均已检测到该银行木马。
• Hydra - Hydra 是一种银行木马，可通过要求受害者启用高危权限来窃取财务凭证。 
• AlienBot – AlienBot 是一种针对 Android 的银行木马，作为恶意软件即服务 (MaaS) 在地下出售。它支持键盘记录、动态覆盖（以窃取凭证）及短消息获取（可绕开 2FA），并可以利用 TeamViewer 模块提供其他远程控制功能。

Check Point《全球威胁影响指数》及其《ThreatCloud 路线图》基于 Check Point ThreatCloud 情报数据撰写而成。ThreatCloud 提供的实时威胁情报来自于部署在全球网络、端点和移动设备上的数亿个传感器。AI 引擎和 Check Point 软件技术公司情报与研究部门 Check Point Research 的独家研究数据进一步丰富了情报内容。