安全公司ReliaQuest在上周報告稱，應該由IT防御系統檢測和阻止的頂級惡意軟件是QBot（也稱為QakBot、QuackBot和Pinkslipbot），它是1月1日至7月31日期間最常見的加載器，負責記錄的入侵嘗試的30%。SocGholish排名第二，占27%，Raspberry Robin占23%。排名后的七個加載器遠遠落后于這三個領導者：Gootloader占3%，Guloader、Chromeloader和Ursnif占2%。

顧名思義，加載器是惡意軟件感染的中間階段。例如，黑客利用某些漏洞或向目標發送帶有惡意附件的電子郵件來在受害者的計算機上運行加載器。當加載器運行時，通常會在系統中確保其立足點，采取措施維持持久性，并獲取執行主要惡意軟件負載，可能是勒索軟件、后門或其他類似的東西。

這使得攻擊者在入侵后有一定的靈活性，并且還有助于隱藏部署在計算機上的惡意軟件。能夠發現和停止加載器可以在您的組織內阻止重大的惡意軟件感染。

然而，對于安全團隊來說，這些加載器令人頭疼，因為正如ReliaQuest指出的那樣，“對一個加載器的緩解措施可能對另一個加載器無效，即使它們加載相同的惡意軟件。”

根據分析，ReliaQuest將QBot描述為“靈活的”銀行木馬，它已經發展成為傳遞勒索軟件、竊取敏感數據、在組織環境中實現橫向移動以及部署遠程代碼執行軟件的16年老木馬。

去年6月，Lumen的黑蓮花實驗室威脅情報組發現該加載器使用了新的惡意軟件傳遞方法和命令與控制基礎設施，其中四分之一的基礎設施僅活躍了一天。根據安全研究人員的說法，這種演變很可能是對微軟去年默認阻止Office用戶從互聯網獲取的宏的回應。

ReliaQuest表示：“QakBot的靈活性在其運營商對微軟的Web標記（MOTW）的回應中表現出來：它們改變了交付策略，選擇使用HTML走私。在其他情況下，QakBot運營商嘗試使用不同的文件類型作為其負載，以逃避緩解措施。”

這包括在釣魚郵件中使用惡意的OneNote文件，正如2023年2月針對美國組織的一次活動中所發生的情況。

不要相信那個下載

SocGholish通常通過驅動器損壞和社交工程活動部署，偽裝成一個假的更新，當被下載時，在受害者設備上釋放惡意代碼。根據谷歌的威脅分析小組的說法，Exotic Lily曾一度每天向650個目標全球組織發送超過5000封電子郵件。

去年秋天，一個被追蹤為TA569的犯罪團伙入侵了250多個美國報紙網站，然后利用這個訪問權限通過惡意的JavaScript廣告和視頻向這些出版物的讀者提供SocGholish惡意軟件。

最近，在2023年上半年，ReliaQuest追蹤到SocGholish運營商進行了“積極的飲水源攻擊”。

威脅研究人員表示：“他們入侵和感染了從事具有利潤潛力的常規業務的大型組織的網站，不知情的訪問者不可避免地下載了SocGholish的負載，導致廣泛感染。”

早起的鳥兒得到了（Windows）蠕蟲

排名前三的是Raspberry Robin，它也針對Windows系統，并已經從通過USB驅動器傳播的蠕蟲進化而來。

這些被感染的USB驅動器包含惡意的.lnk文件，當執行時，與命令與控制服務器通信，建立持久性，并在受感染設備上執行其他惡意軟件，越來越多地是勒索軟件。

Raspberry Robin還被用于傳遞Clop和LockBit勒索軟件，以及TrueBot數據竊取惡意軟件、Flawed Grace遠程訪問木馬和Cobalt Strike以獲取對受害者環境的訪問權限。

它與Evil Corp和另一個俄羅斯犯罪團伙Whisper Spider有關。在2023年上半年，它曾被用于針對金融機構、電信、政府和制造業組織的攻擊，主要在歐洲，但也在美國。

研究人員寫道：“根據最近的趨勢，這些加載器在中期未來（3-6個月）以及之后很可能繼續對組織構成威脅。”