2024 年 2 月头号恶意软件:新型 FakeUpdates 攻击活动瞄准 WordPress 网站
研究人员发现了一起瞄准 WordPress 网站的新型 FakeUpdates(又称 SocGolish)攻击活动,该活动利用被盗管理员账户发起攻击。与此同时,Play 跃居头号勒索软件团伙前三名,教育行业仍是全球首要攻击目标
2024 年 3 月,领先的云端 AI 网络安全平台提供商 Check Point® 软件技术有限公司(纳斯达克股票代码:CHKP)发布了其 2024 年 2 月《全球威胁指数》报告。上月,研究人员发现了一起新型 FakeUpdates 攻击活动,攻击者利用被盗 wp-admin 管理员账户感染了 WordPress 网站。在该活动中,FakeUpdates 恶意软件调整了其攻击手段,利用篡改过的 WordPress 插件入侵网站,并诱骗个人下载远程访问木马。与此同时,Lockbit3 仍是最猖獗的勒索软件团伙,其攻击数量占已发布攻击的 20%;教育行业仍然是全球受影响最大的行业。
FakeUpdates(又称 SocGholish)的出现起码可追溯到 2017 年,之后一直活跃至今。它使用 JavaScript 恶意软件来攻击网站,尤其是采用内容管理系统的网站。FakeUpdates 恶意软件通常是威胁指数排行榜中最猖獗的恶意软件,意在诱骗用户下载恶意软件。尽管业界竭力应对,但它仍对网站安全和用户数据构成重大威胁。这一复杂的恶意软件变体以前与网络犯罪团伙 Evil Corp 有关。该团伙利用 FakeUpdates 恶意软件的下载程序功能,通过 dou 售对已遭感染系统的访问权限来牟利。如果 Evil Corp 团伙向多个客户提供访问权限,就会引致其他恶意软件感染。
Check Point 软件技术公司研究副总裁 Maya Horowitz 表示:“网站是整个世界的数字门面,对于通信、商业和连接至关重要。保护网站免受网络威胁不仅仅是保护代码,还关系到保护我们的在线业务乃至整个互联社会的正常运转。如果网站被网络犯罪分子用作暗地传播恶意软件的渠道,那么企业未来的营收和声誉可能会受到重创。因此,必须采取预防措施和零容忍策略,以确保有效防御威胁。”
Check Point 的威胁指数报告还包含从近 200 个由双重勒索软件团伙运营的勒索软件网站生成的情报,其中 68 个网站今年公布了受害者信息,以向不付款的目标施压。在上月报告的此类事件中,Lockbit3 再次位居首位,占 20%,其次是 Play 和 8base,分别占 8% 和 7%。首次跃居前三位的 Play 声称对奥克兰市最近遭受的网络攻击负责。
上月,“Web 服务器恶意 URL 目录遍历漏洞”是最常被利用的漏洞,全球 51% 的机构因此遭殃,其次是“HTTP 载荷命令行注入”和“Zyxel ZyWALL 命令注入”,分别影响了全球 50% 的机构。
头号恶意软件家族
* 箭头表示与上月相比的排名变化。
FakeUpdates 是上个月最猖獗的恶意软件,全球 5% 的组织受到波及,其次是 Qbot 和 Formbook,分别影响了全球 3% 和 2% 的机构。
FakeUpdates – FakeUpdates(又名 SocGholish)是一种使用 JavaScript 编写的下载程序。它会在启动有效载荷之前先将其写入磁盘。FakeUpdates 通过许多其他恶意软件(包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult)引致进一步破坏。
Qbot - Qbot(又名 Qakbot)是一种多用途恶意软件,于 2008 年首次出现,旨在窃取用户凭证、记录击键次数、从浏览器中窃取 cookie、监视用户的银行业务操作,并部署更多恶意软件。Qbot 通常通过垃圾邮件传播,采用多种反 VM、反调试和反沙盒手段来阻碍分析和逃避检测。从 2022 年开始,它成为最猖獗的木马之一。
Formbook – Formbook 是针对 Windows 操作系统的信息窃取程序,于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格,它在地下黑客论坛中作为恶意软件即服务 (MaaS) 进行出售。Formbook 可从各种 Web 浏览器中获取凭证、收集截图、监控和记录击键次数并按照其 C&C 命令下载和执行文件。
主要移动恶意软件
上月,Anubis 仍然位居最猖獗的移动恶意软件榜首,其次是 AhMyth 和 Hiddad。
Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自最初检测到以来,它已经具有一些额外的功能,包括远程访问木马 (RAT) 功能、键盘记录器、录音功能及各种勒索软件特性。在谷歌商店提供的数百款不同应用中均已检测到该银行木马。
AhMyth – AhMyth 是一种远程访问木马 (RAT),于 2017 年被发现,可通过应用商店和各种网站上的 Android 应用进行传播。当用户安装这些受感染的应用后,该恶意软件便可从设备收集敏感信息,并执行键盘记录、屏幕截图、发送短信和激活摄像头等操作,这些操作通常用于窃取敏感信息。
Hiddad — Hiddad 是一种 Android 恶意软件,能够对合法应用进行重新打包,然后将其发布到第三方商店。其主要功能是显示广告,但它也可以访问操作系统内置的关键安全细节。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。