2023 年 2 月,網(wǎng)絡安全解決方案提供商 Check Point? 軟件技術(shù)有限公司（納斯達克股票代碼：CHKP）發(fā)布了其 2023 年 1 月《全球威脅指數(shù)》報告。上月，在品牌劫持事件增加后，信息竊取程序 Vidar 重返前十排行榜，位列第七；中東和北非地區(qū)爆發(fā)了一場大型 njRAT 惡意軟件網(wǎng)絡釣魚攻擊活動。

1 月，信息竊取程序 Vidar 被發(fā)現(xiàn)通過與遠程桌面軟件公司 AnyDesk 有關(guān)的虛假域名進行傳播。該惡意軟件對各種熱門應用進行 URL 劫持，將用戶重定向到聲稱是 AnyDesk 官方網(wǎng)站的 IP 地址。一旦下載，該惡意軟件就會偽裝成合法安裝程序來竊取敏感信息，如登錄憑證、密碼、加密貨幣錢包數(shù)據(jù)和銀行信息。

研究人員還發(fā)現(xiàn)了一場名為 Earth Bogle 的大型攻擊活動，該活動針對整個中東和北非地區(qū)的攻擊目標散播 njRAT 惡意軟件。攻擊者使用含有地緣政治主題的網(wǎng)絡釣魚電子郵件，誘使用戶打開惡意附件。一旦下載并打開，該木馬便會感染設備，允許攻擊者實施各種入侵活動，以竊取敏感信息。

Check Point 軟件技術(shù)公司研究副總裁 Maya Horowitz 表示：“我們再次看到惡意軟件團伙利用可信品牌傳播病毒，意在竊取個人身份信息。人們務必要注意其所點擊的鏈接，確保它們是合法 URL。請留意安全掛鎖圖標，這表明網(wǎng)站裝有最新 SSL 證書，而且還需注意任何不易察覺的拼寫錯誤，這可能表明該網(wǎng)站是惡意網(wǎng)站。” 

頭號惡意軟件家族

* 箭頭表示與上月相比的排名變化。

Qbot 和 Lokibot 是上月最猖獗的惡意軟件，分別影響了全球超過 6% 的機構(gòu)，其次是 AgentTesla，全球影響范圍為 5%。

• ↑ Qbot - Qbot（又名 Qakbot）是一種銀行木馬，于 2008 年首次出現(xiàn)，旨在竊取用戶的銀行憑證和擊鍵記錄。Qbot 通常通過垃圾郵件傳播，采用多種反 VM、反調(diào)試和反沙盒手段來阻礙分析和逃避檢測。
• ↑ Lokibot - LokiBot 是一種商品信息竊取程序，于 2016 年 2 月首次發(fā)現(xiàn)，具有 Windows 和 Android 操作系統(tǒng)版本。它從各種應用、網(wǎng)絡瀏覽器、電子郵件客戶端、IT 管理工具（如 PuTTY）等獲取憑證。LokiBot 在黑客論壇上出售，據(jù)信其源代碼已泄露，因此出現(xiàn)了許多變體。自 2017 年底以來，一些 Android 版本的 LokiBot 不僅具有信息竊取功能，而且還有勒索軟件功能。
• ↑AgentTesla – AgentTesla 是一種用作鍵盤記錄器和信息竊取程序的高級 RAT，能夠監(jiān)控和收集受害者的鍵盤輸入與系統(tǒng)剪貼板、截圖并盜取受害者電腦上安裝的各種軟件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 電子郵件客戶端）的證書。

最常被利用的漏洞 

上月，“Web Server Exposed Git 存儲庫信息泄露”是最常被利用的漏洞，全球 46% 的機構(gòu)因此受到影響，其次是“HTTP 標頭遠程執(zhí)行代碼”，影響了全球 42% 的機構(gòu)。“MVPower DVR 遠程代碼執(zhí)行”位列第三，全球影響范圍為 39%。

• ? Web Server Exposed Git 存儲庫信息泄露 - Git 存儲庫報告的一個信息泄露漏洞。攻擊者一旦成功利用該漏洞，便會造成帳戶信息的無意泄露。
• ↑ HTTP 標頭遠程代碼執(zhí)行 （CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） - HTTP 標頭允許客戶端和服務器傳遞帶 HTTP 請求的其他信息。遠程攻擊者可能會使用存在漏洞的 HTTP 標頭在受感染機器上運行任意代碼。
• ↑ MVPower DVR 遠程執(zhí)行代碼 - 一種存在于 MVPower DVR 設備中的遠程代碼執(zhí)行漏洞。遠程攻擊者可利用此漏洞，通過精心設計的請求在受感染的路由器中執(zhí)行任意代碼。

主要移動惡意軟件

上月，Anubis 仍是最猖獗的移動惡意軟件，其次是 Hiddad 和 AhMyth。

• Anubis – Anubis 是一種專為 Android 手機設計的銀行木馬惡意軟件。自最初檢測到以來，它已經(jīng)具有一些額外的功能，包括遠程訪問木馬 (RAT) 功能、鍵盤記錄器、錄音功能及各種勒索軟件特性。在谷歌商店提供的數(shù)百款不同應用中均已檢測到該銀行木馬。
• Hiddad - Hiddad 是一種 Android 惡意軟件，能夠?qū)戏☉眠M行重新打包，然后將其發(fā)布到第三方商店。其主要功能是顯示廣告，但它也可以訪問操作系統(tǒng)內(nèi)置的關(guān)鍵安全細節(jié)。
• AhMyth – AhMyth 是一種遠程訪問木馬 (RAT)，于 2017 年被發(fā)現(xiàn)，可通過應用商店和各種網(wǎng)站上的 Android 應用進行傳播。當用戶安裝這些受感染的應用后，該惡意軟件便可從設備收集敏感信息，并執(zhí)行鍵盤記錄、屏幕截圖、發(fā)送短信和激活攝像頭等操作，這些操作通常用于竊取敏感信息。

Check Point《全球威脅影響指數(shù)》及其《ThreatCloud 路線圖》基于 Check Point ThreatCloud 情報數(shù)據(jù)撰寫而成。ThreatCloud 提供的實時威脅情報來自于部署在全球網(wǎng)絡、端點和移動設備上的數(shù)億個傳感器。AI 引擎和 Check Point 軟件技術(shù)公司情報與研究部門 Check Point Research 的獨家研究數(shù)據(jù)進一步豐富了這些情報內(nèi)容。