2022 年 12 月 ，網(wǎng)絡安全解決方案提供商 Check Point? 軟件技術有限公司（納斯達克股票代碼：CHKP）發(fā)布了其 2022 年 11 月最新版《全球威脅指數(shù)》報告。本月，來勢兇猛的木馬惡意軟件 Emotet 在夏季短暫沉寂后再度來襲。Qbot 自 2021 年 7 月以來首次位列排行榜第三位，全球影響范圍為 4%；Raspberry Robin 攻擊顯著增加，這種復雜的蠕蟲通常使用惡意 U 盤感染設備。

2022 年 7 月，Check Point Research (CPR) 報告稱，Emotet 的全球影響范圍和攻擊活動大幅減少，但其隱匿或許只是暫時的。不出所料，這種自我傳播的木馬惡意軟件現(xiàn)已重返指數(shù)榜單，于 11 月成為第二大傳播廣泛的惡意軟件，影響了全球 4% 的機構。盡管 Emotet 最初只是一種銀行木馬，但其模塊化設計使它能夠演變成其他類型的惡意軟件的分發(fā)程序，并通常通過網(wǎng)絡釣魚攻擊活動進行傳播。Emotet 肆虐程度的加劇在某種程度上可能是由于 11 月發(fā)起的一系列新的惡意垃圾郵件攻擊活動所致。

此外，自 2021 年 7 月以來，竊取銀行憑證和記錄擊鍵次數(shù)的木馬 Qbot 首次位列頭號惡意軟件排行榜第三位，全球影響范圍為 4%。該惡意軟件背后的攻擊者是意圖非法牟利的網(wǎng)絡犯罪分子，他們從受感染的系統(tǒng)中竊取財務數(shù)據(jù)、銀行憑證和 Web 瀏覽器信息。一旦系統(tǒng)感染得逞，Qbot 攻擊者便會趁機安裝后門，以授予勒索軟件運營組織訪問權限，導致雙重勒索攻擊侵害。11 月，Qbot 利用 Windows 零日漏洞授予了攻擊者全面訪問受感染網(wǎng)絡的權限。

本月，Raspberry Robin 也有所增加，這是一種復雜的蠕蟲，通過U盤或其他移動存儲設備，附帶看似合法但實際上能夠感染受害者機器的 Windows 快捷方式文件。Microsoft 發(fā)現(xiàn)它已經(jīng)從一種廣泛散播的蠕蟲演變?yōu)橐粋€分發(fā)惡意軟件的感染平臺，不僅與其他惡意軟件家族有關，而且還有替代感染方法，不僅限于其最初的 U 盤傳播。

Check Point 軟件技術公司研究副總裁 Maya Horowitz 表示：“盡管這些復雜的惡意軟件在靜默期潛伏起來，但過去幾周的情況警醒我們，它們不會長期銷聲匿跡。我們大家切不可懈怠，必須在打開電子郵件、點擊鏈接、訪問網(wǎng)站或共享個人信息時保持警惕。”

CPR 還指出，“Web 服務器惡意 URL 目錄遍歷漏洞”是最常被利用的漏洞，全球 46% 的機構受到波及，緊隨其后的是“Web Server Exposed Git 存儲庫信息泄露”，全球影響范圍為 45%。11 月，教育/研究行業(yè)仍在全球首當其沖的行業(yè)中位列第一。

頭號惡意軟件家族

* 箭頭表示與上月相比的排名變化。

AgentTesla 仍是本月最猖獗的惡意軟件，全球 6% 的機構因此遭殃，其次是新上榜木馬 Emotet 和 Qbot。

• ? AgentTesla - AgentTesla 是一種用作鍵盤記錄器和信息竊取程序的高級 RAT。它能夠監(jiān)控和收集受害者的鍵盤輸入與系統(tǒng)鍵盤、截圖并盜取受害者電腦上安裝的各種軟件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook）的證書。
• ↑ Emotet – Emotet 是一種能夠自我傳播的高級模塊化木馬。Emotet 曾經(jīng)被用作銀行木馬，最近又被用作其他惡意軟件或惡意攻擊的傳播程序。它使用多種方法和規(guī)避技術來確保持久性和逃避檢測。此外，它還可以通過包含惡意附件或鏈接的網(wǎng)絡釣魚垃圾郵件進行傳播。
• ↑ Qbot - Qbot（又名 Qakbot）是于 2008 年首次出現(xiàn)的銀行木馬，旨在竊取用戶銀行憑證和擊鍵紀錄。它通常通過垃圾郵件傳播，并采用多種反 VM、反調(diào)試和反沙盒手段來阻礙分析和逃避檢測。

主要移動惡意軟件

Anubis 仍然是本月最猖獗的移動惡意軟件，其次是 Hydra 和 AlienBot。

• Anubis – Anubis 是一種專為 Android 手機設計的銀行木馬惡意軟件。 自最初檢測到以來，它已經(jīng)具有一些額外的功能，包括遠程訪問木馬 (RAT) 功能、鍵盤記錄器和錄音功能及各種勒索軟件特性。在谷歌商店提供的數(shù)百款不同應用中均已檢測到該銀行木馬。
• Hydra - Hydra 是一種銀行木馬，可通過要求受害者啟用高危權限來竊取財務憑證。
• AlienBot – AlienBot 是一種針對 Android 的銀行木馬，作為惡意軟件即服務 (MaaS) 在地下出售。它支持鍵盤記錄、動態(tài)覆蓋（以竊取憑證）及短消息獲取（可繞開 2FA），并可以利用 TeamViewer 模塊提供其他遠程控制功能。

Check Point《全球威脅影響指數(shù)》及其《ThreatCloud 路線圖》基于 Check Point ThreatCloud 情報數(shù)據(jù)撰寫而成。ThreatCloud 提供的實時威脅情報來自于部署在全球網(wǎng)絡、端點和移動設備上的數(shù)億個傳感器。AI 引擎和 Check Point 軟件技術公司情報與研究部門 Check Point Research 的獨家研究數(shù)據(jù)進一步豐富了情報內(nèi)容。