2020 年 4 月头号恶意软件:Agent Tesla 远程访问木马通过 COVID-19 相关垃圾邮件攻击活动大肆传播

近日,全球领先的网络安全解决方案提供商 Check Point® 软件技术有限公司(纳斯达克股票代码:CHKP)的威胁情报部门 Check Point Research 发布了其 2020 年 4 月最新版《全球威胁指数》报告。研究人员发现,多起 COVID-19 相关垃圾邮件攻击活动正在传播 Agent Tesla 远程访问木马的新变种,使这一恶意软件跃升至指数报告排行榜第三位,波及全球 3% 的组织。

Agent Tesla 的新变种已经过修改,可从目标电脑窃取 Wi-Fi 密码及其他信息,例如 Outlook 电子邮件证书。4 月,Agent Tesla 作为附件用于多起 COVID-19 相关恶意垃圾邮件攻击活动,以提供有关疫情的有趣信息为幌子,企图诱骗受害者下载恶意文件。其中一起攻击活动声称邮件由世界卫生组织发送,主题为“紧急信息通报函:首次 COVID-19 疫苗人体测试/结果更新”。这揭示了黑客将如何利用全球新闻事件和公众关切来提高其攻击成功率。

3 月,知名银行木马 Dridex 首次跻身威胁指数报告排行榜前十位,并于 4 月产生更大影响。该木马从上个月的指数报告排行榜第 3 位一举跃居首位,影响了全球 4% 的组织。3 月最猖獗的恶意软件 XMRig 跌至第二位。

Check Point 产品威胁情报与研究总监 Maya Horowitz 表示:“4 月发生的多起 Agent Tesla 恶意垃圾邮件攻击活动充分表明,网络犯罪分子借新闻事件诱骗毫无戒心的受害者点击受感染链接,手段十分狡猾诡诈。Agent Tesla 和 Dridex 均跻身威胁指数报告排行榜前三位,由此可见,犯罪分子正专注于窃取用户的个人和业务数据及证书,以从中牟利。因此,各组织必须积极主动地采取灵活方法来提醒用户,让其员工随时了解最新工具和技术,尤其是在越来越多的员工居家办公的特殊时期。”

研究团队还警告称“MVPower DVR 远程执行代码”仍然是最常被利用的漏洞,影响范围不断扩大,全球 46% 的组织受到波及。紧随其后的是“OpenSSL TLS DTLS 心跳信息泄露”,全球影响范围为 41%,其次是“HTTP 载荷命令行注入”,影响了全球 40% 的组织。

头号恶意软件家族

* 箭头表示与上月相比的排名变化。

本月,Dridex 跃居榜首,全球 4% 的组织受到波及,其次是 XMRig Agent Tesla,分别影响了全球 4% 和 3% 的组织。

  1. Dridex – Dridex 是一种针对 Windows 平台的木马,据说通过垃圾邮件附件进行下载。Dridex 不仅能够联系远程服务器并发送有关受感染系统的信息,而且还可以下载并执行从远程服务器接收的任意模块。
  2. XMRig – XMRig 是一种开源 CPU 挖矿软件,用于门罗币加密货币的挖掘,首次出现时间为 2017 年 5 月。
  3. Agent Tesla – Agent Tesla 是一种用作键盘记录器和信息窃取程序的高级 RAT,能够监控和收集受害者的键盘输入与系统剪贴板、截图并盗取受害者电脑上安装的各种软件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端)的证书。

最常被利用的漏洞

本月,“MVPower DVR 远程执行代码”是最常被利用的漏洞,全球 46% 的组织因此遭殃,其次是“OpenSSL TLS DTLS 心跳信息泄露”,全球影响范围为 41%。“HTTP 载荷命令行注入”漏洞位列第三,影响了全球 40% 的组织,主要出现在利用“DrayTek”路由器和交换机设备 (CVE-2020-8515) 的零日漏洞发起的攻击中。

  1. ↔ MVPower DVR 远程执行代码 – 一种存在于 MVPower DVR 设备中的远程代码执行漏洞。远程攻击者可利用此漏洞,通过精心设计的请求在受感染的路由器中执行任意代码。
  2. OpenSSL TLS DTLS 心跳信息泄露(CVE-2014-0160CVE-2014-0346 – 一种存在于 OpenSSL 中的信息泄露漏洞。该漏洞是因处理 TLS/DTLS 心跳包时发生错误所致。攻击者可利用该漏洞泄露联网客户端或服务器的内存内容。
  3. HTTP 载荷命令行注入 – 通过向受害者发送特制请求,远程攻击者便可利用此漏洞。攻击者可通过该漏洞在目标计算机上执行任意代码。

头号恶意软件家族移动恶意软件

本月,xHelper 仍位列最猖獗的移动恶意软件榜首,其次是 Lotoor AndroidBauts

  1. xHelper – 自 2019 年 3 月以来开始肆虐的恶意应用,用于下载其他恶意应用并显示恶意广告。该应用能够对用户隐身,并在卸载后进行自我重新安装。
  2. Lotoor – Lotoor 是一种黑客工具,能够利用 Android 操作系统漏洞在入侵的移动设备上获得根权限。
  3. AndroidBauts – AndroidBauts 是一种针对 Android 用户的广告软件,可以盗取 IMEI、IMSI、GPS 位置和其他设备信息,并允许在移动设备上安装第三方应用和快捷方式。

Check Point《全球威胁影响指数》及其《ThreatCloud 路线图》基于 Check Point ThreatCloud 情报数据撰写而成,ThreatCloud 是打击网络犯罪的最大协作网络,可通过全球威胁传感器网络提供威胁数据和攻击趋势。ThreatCloud 数据库每天检查超过 25 亿个网站和 5 亿份文件,每天识别超过 2.5 亿起恶意软件攻击活动。

如欲查看 4 月份十大恶意软件家族的完整列表,请访问 Check Point 博客。

关于 Check Point 软件技术有限公司

Check Point 软件技术有限公司(www.checkpoint.com) 是一家面向全球企业用户业内领先的信息安全解决方案提供商。Check Point 解决方案对恶意软件、勒索软件和高级目标威胁的防范率处于业界领先水准,可有效保护客户免受第五代网络攻击。Check Point 为业界提供前瞻性多级安全架构 Infinity Total Protection,这一组合产品架构具备第五代高级威胁防御能力,可全面保护企业的云、网络,移动,工业互联网和IOT系统。

关于 Check Point Research

Check Point Research 能够为 Check Point Software 客户以及整个情报界提供领先的网络威胁情报。Check Point 研究团队负责收集和分析 ThreatCloud 存储的全球网络攻击数据,以便在防范黑客的同时,确保所有 Check Point 产品都享有最新保护措施。此外,该团队由 100 多名分析师和研究人员组成,能够与其他安全厂商、执法机关及各个计算机安全应急响应组展开合作。