2024年11月份恶意软件之“十恶不赦”排行榜

关键基础设施（包括电网、交通系统、医疗保健网络等）仍然是网络犯罪分子的主要目标，因为它们在日常生活中发挥着不可或缺的作用，而且存在漏洞。破坏这些系统可能会导致大范围混乱、经济损失，甚至威胁公共安全。

研究人员发现，目前位居恶意软件排行榜首位的 Androxgh0st 正在利用多个平台的漏洞，包括物联网设备和网络服务器，这些都是关键基础设施的关键组件。通过采用 Mozi 的策略，它以使用远程代码执行和凭证窃取方法的系统为目标，以保持持续访问，从而实现 DDoS 攻击和数据盗窃等恶意活动。僵尸网络通过未修补的漏洞渗透到关键基础设施中，而 Mozi 功能的整合大大扩展了 Androxgh0st 的覆盖范围，使其能够感染更多物联网设备并控制更广泛的目标。这些攻击在各个行业产生连锁反应，凸显了依赖这些基础设施的政府、企业和个人面临的高风险。

在最主要的移动恶意软件威胁中，Joker 仍然是最普遍的，其次是 Anubis 和 Necro。Joker 继续窃取短信、联系人和设备信息，同时悄悄地让受害者订阅高级服务。与此同时，银行木马 Anubis 获得了新功能，包括远程访问、键盘记录和勒索软件功能。

Androxgh0st 的崛起和 Mozi 的整合表明网络犯罪分子的策略在不断演变。组织必须迅速适应并实施强大的安全措施，以便在这些高级威胁造成重大损害之前识别并消除它们。

2024年11月“十恶不赦”

*箭头表示与上个月相比的排名变化

Androxgh0st是本月最流行的恶意软件，影响了全球5% 的组织，紧随其后的是FakeUpdates，影响率为5%，以及AgentTesla，影响率为3%。

1. ↑ Androxgh0st – Androxgh0st 是一个针对 Windows、Mac 和 Linux 平台的僵尸网络。对于初始感染，Androxgh0st 利用了多个漏洞，具体针对的是 PHPUnit、Laravel 框架和 Apache Web 服务器。该恶意软件窃取敏感信息，如 Twilio 帐户信息、SMTP 凭据、AWS 密钥等。它使用 Laravel 文件来收集所需信息。它有不同的变体，可以扫描不同的信息。

2. ↓ FakeUpdates – FakeUpdates（又名 SocGholish）是一个用 JavaScript 编写的下载程序。它会在启动有效载荷之前将其写入磁盘。FakeUpdates 导致通过许多其他恶意软件（包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult）进一步入侵。

3. ↔ AgentTesla – AgentTesla 是一种先进的 RAT，可用作键盘记录器和信息窃取程序，能够监视和收集受害者的键盘输入、系统键盘、截屏以及窃取安装在受害者机器上的各种软件的凭据（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端）。

4. ↑ Formbook – Formbook 是一种针对 Windows 操作系统的信息窃取程序，于 2016 年首次被发现。它在地下黑客论坛上以恶意软件即服务 (MaaS) 的形式销售，因为它具有强大的规避技术和相对较低的价格。FormBook 从各种 Web 浏览器收集凭据、收集屏幕截图、监视和记录击键，并可以根据其 C&C 的命令下载和执行文件。

5. ↑ Remcos – Remcos 是一种 RAT，于 2016 年首次出现。Remcos 通过附加在垃圾邮件中的恶意 Microsoft Office 文档进行分发，旨在绕过 Microsoft Windows UAC 安全保护并以高级权限执行恶意软件。

6. ↔ AsyncRat – Asyncrat 是一种针对 Windows 平台的木马。该恶意软件会将目标系统的系统信息发送到远程服务器。它会从服务器接收命令，下载并执行插件、终止进程、卸载/更新自身以及捕获受感染系统的屏幕截图。

7. ↓ NJRat – NJRat 是一种远程访问木马，主要针对中东的政府机构和组织。该木马于 2012 年首次出现，具有多种功能：捕获击键、访问受害者的相机、窃取存储在浏览器中的凭据、上传和下载文件、执行进程和文件操作以及查看受害者的桌面。NJRat 通过网络钓鱼攻击和驱动下载感染受害者，并在命令和控制服务器软件的支持下通过受感染的 USB 密钥或网络驱动器进行传播。

8. ↑ Phorpiex – Phorpiex 是一个僵尸网络（又名 Trik），自 2010 年以来一直活跃，在高峰期控制了超过一百万台受感染的主机。它以通过垃圾邮件活动传播其他恶意软件系列以及助长大规模垃圾邮件和性勒索活动而闻名。

9. ↑ Cloud Eye – CloudEye 是一个针对 Windows 平台的下载器，用于在受害者的计算机上下载并安装恶意程序。

10. ↑ Rilide –一种针对基于 Chromium 的浏览器的恶意浏览器扩展程序，模仿合法软件来渗透系统。它利用浏览器功能执行有害活动，如监视网页浏览、捕获屏幕截图以及注入脚本以窃取加密货币。Rilide 通过下载其他恶意软件、记录用户活动来运行，甚至可以操纵网络内容以欺骗用户进行未经授权的操作。

最常被利用的漏洞 

1. ↑ HTTP 命令注入 (CVE-2021-43936、CVE-2022-24086) – 已报告 HTTP 命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功利用此漏洞将允许攻击者在目标计算机上执行任意代码。

2. ↑ Web 服务器暴露 Git 存储库信息泄露 – Git 存储库中已报告信息泄露漏洞。成功利用此漏洞可能导致账户信息意外泄露。

3. ↑ ZMap 安全扫描器 (CVE-2024-3378) – ZMap 是一款漏洞扫描产品。远程攻击者可以使用 ZMap 检测目标服务器上的漏洞。

热门移动恶意软件

本月最流行的移动恶意软件中，Joker位居第一，其次是Anubis和Necro。

1. ↔ Joker – Google Play 上的一款安卓间谍软件，旨在窃取短信、联系人列表和设备信息。此外，该恶意软件还会悄悄地让受害者在广告网站上获得高级服务。

2. ↑ Anubis – Anubis 是一种针对 Android 手机设计的银行木马恶意软件。自首次被发现以来，它已获得附加功能，包括远程访问木马 (RAT) 功能、键盘记录器、录音功能和各种勒索软件功能。它已在 Google 商店中提供的数百种不同应用程序中被检测到。

3. ↓ Necro – Necro 是一种 Android 木马植入程序。它能够下载其他恶意软件、显示侵入性广告并通过收取付费订阅费来窃取资金。

全球最易受攻击的行业

本月，教育/研究行业在全球遭受攻击的行业中仍然位居第一，其次是通信和政府/军事。

1. 教育/研究

2. 通讯

3. 政府/军队

顶级勒索软件组织

这些数据基于双重勒索勒索软件组织运营的勒索软件“耻辱网站”的洞察，这些网站发布了受害者信息。RansomHub是本月最流行的勒索软件组织，占已发布攻击的16% ，其次是Akira（占6%）和Killsec3（占6%）。

1. RansomHub – RansomHub 是一种勒索软件即服务 (RaaS) 操作，是之前已知的 Knight 勒索软件的改名版本。RansomHub 于 2024 年初在地下网络犯罪论坛上引人注目，因其针对各种系统（包括 Windows、macOS、Linux，尤其是 VMware ESXi 环境）的积极活动而迅速声名狼藉。该恶意软件以采用复杂的加密方法而闻名。

2. Akira – Akira 勒索软件于 2023 年初首次报告，针对 Windows 和 Linux 系统。它使用 CryptGenRandom() 和 Chacha 2008 的对称加密进行文件加密，类似于泄露的 Conti v2 勒索软件。Akira 通过各种方式传播，包括受感染的电子邮件附件和 VPN 端点中的漏洞。感染后，它会加密数据并在文件名后附加“.akira”扩展名，然后出示勒索信，要求支付解密费用。

3. KillSec3 – KillSec 是一个俄语网络威胁组织，于 2023 年 10 月出现。该组织运营一个勒索软件即服务 (RaaS) 平台，还提供一系列其他攻击性网络犯罪服务，包括 DDoS 攻击和所谓的“渗透测试服务”。审查其受害者名单后发现，与同类组织相比，印度的目标数量异常多，而美国受害者的比例异常低。他们的主要目标包括医疗保健和政府部门。

—END—