全球領先網絡安全解決方案提供商 Check Point 軟件技術有限公司(納斯達克股票代碼：CHKP)的威脅情報部門 Check Point Research 發布了其 2020 年 9 月最新版《全球威脅指數》報告。研究人員發現，Valak 惡意軟件更新版首次登榜，在 9 月份最流行惡意軟件排行榜中排名第九。

Valak 是一種復雜的威脅，于 2019 年末首次發現，當時被歸類為惡意軟件加載器。但最近幾個月發現的 Valak 新變體功能發生重大變化，能夠使 Valak 充當針對個人和企業的信息竊取器。新版Valak 能夠從 Microsoft Exchange 郵件系統中竊取敏感信息以及用戶憑證和域名證書。9 月份，Valak 通過包含惡意 .doc 文件的垃圾郵件攻擊活動廣泛傳播。

Emotet 木馬連續三個月穩居《全球威脅指數》榜首，影響了全球 14% 的組織。Qbot 木馬于 8 月份首次入榜，并在 9 月份被廣泛使用，從榜單第 10 位躍升至第 6 位。

Check Point 產品威脅情報與研究總監總監 Maya Horowitz 表示：“這些傳播 Valak 的新攻擊活動再次證明，攻擊者正尋求加大對成熟惡意軟件的投入。攻擊者打算結合使用 Valak 和 8 月份出現的Qbot 更新版，大規模竊取組織和個人的數據和憑證。企業應考慮部署反惡意軟件解決方案，以防止此類內容傳播給最終用戶，并建議員工謹慎打開電子郵件，即使它們看上去像來自可靠來源，也務必要小心。”

研究團隊還警告稱，“MVPower DVR 遠程執行代碼”漏洞是最常被利用的漏洞，影響了全球 46% 的組織，其次是“Dasan GPON 路由器身份驗證繞過”漏洞，影響了全球 42% 的組織。“OpenSSL TLS DTLS 心跳信息披露 (CVE-2014-0160; CVE-2014-0346)”漏洞影響了全球 36% 的組織。

頭號惡意軟件家族

* 箭頭表示與上月相比的排名變化。

Emotet 仍然是本月最流行的惡意軟件，影響了全球 14% 的組織，其次是 Trickbot 和 Dridex，分別影響了全球 4% 和 3% 的組織。

• ↔ Emotet - Emotet 是一種能夠自我傳播的高級模塊化木馬。Emotet 最初是一種銀行木馬，但最近被用作其他惡意軟件或惡意攻擊的傳播程序。它使用多種方法和規避技術來確保持久性和逃避檢測。此外，它還可以通過包含惡意附件或鏈接的網絡釣魚垃圾郵件進行傳播。

• ↑ Trickbot - Trickbot 是一種使用廣泛的銀行木馬，不斷添加新的功能、特性和傳播向量。這讓它成為一種靈活的可自定義的惡意軟件，廣泛用于多目的攻擊活動。

• ↑Dridex - Dridex 是一種針對 Windows 平臺的木馬，據稱可通過垃圾郵件附件下載。Dridex 不僅能夠聯系遠程服務器并發送有關受感染系統的信息，而且還可以下載并執行從遠程服務器接收的任意模塊。

最常被利用的漏洞

本月最常被利用的漏洞是“MVPower DVR 遠程執行代碼”，影響了全球 46% 的組織，其次是“Dasan GPON 路由器身份驗證繞過”漏洞，影響了全球 42% 的組織。“OpenSSL TLS DTLS心跳信息披露 (CVE-2014-0160; CVE-2014-0346)”漏洞位居第三，影響了全球 36% 的組織。

• ↑MVPower DVR 遠程執行代碼 - 一種存在于 MVPower DVR 設備中的遠程執行代碼漏洞。遠程攻擊者可利用此漏洞，通過精心設計的請求在受感染的路由器中執行任意代碼。

• ↑ Dasan GPON 路由器身份驗證繞過 (CVE-2018-10561) – 一種存在于 Dasan GPON 路由器中的身份驗證繞過漏洞。遠程攻擊者可成功利用此漏洞獲取敏感信息并獲得對被感染系統的未授權訪問。

• ↑ OpenSSL TLS DTLS 心跳信息泄露 (CVE-2014-0160;CVE-2014-0346) - 一種存在于OpenSSL 中的信息泄露漏洞。該漏洞是因處理 TLS/DTLS 心跳包時發生錯誤所致。攻擊者可利用該漏洞泄露聯網客戶端或服務器的內存內容。

頭號移動惡意軟件家族

本月最流行的移動惡意軟件是 xHelper，其次是 Xafecopy 和 Hiddad。

• xHelper - 自 2019 年3 月以來開始肆虐的惡意應用，用于下載其他惡意應用并顯示惡意廣告。該應用能夠對用戶隱身，并在卸載后進行自我重新安裝。
• Xafekopy - Xafecopy 木馬偽裝成有用的應用，例如 Battery Master，然后秘密將惡意代碼加載到設備上。應用一旦被激活，Xafecopy 惡意軟件便會點擊采用無線應用協議 (WAP) 計費模式的網頁，WAP 計費是一種直接將費用計入用戶手機賬單的移動支付形式。
• Hiddad - Hiddad 是一種 Android 惡意軟件，能夠對合法應用進行重新打包，然后將其發布到第三方商店。其主要功能是展示廣告，但它也可以訪問操作系統內置的關鍵安全細節。

Check Point《全球威脅影響指數》及其《ThreatCloud 路線圖》基于 Check Point ThreatCloud 情報數據撰寫而成，ThreatCloud 是打擊網絡犯罪的最大協作網絡，可通過全球威脅傳感器網絡提供威脅數據和攻擊趨勢。ThreatCloud 數據庫每天檢查超過 25 億個網站和 5 億份文件，每天識別超過 2.5 億起惡意軟件攻擊活動。