2020 年 7 月头号恶意软件：Emotet 在隐匿五个月后卷土重来

　　Check Point Research 发现，在隐匿一段时间后，Emotet 僵尸网络掀起垃圾邮件攻击活动的频率激增，企图窃取银行凭证并在目标网络内部传播

　　近日 ，全球领先的网络安全解决方案提供商 Check Point® 软件技术有限公司 （纳斯达克股票代码：CHKP）的威胁情报部门 Check Point Research 发布了其 2020 年 7 月最新版《全球威胁指数》报告。研究人员发现，在隐匿五个月后，Emotet 现已重回指数报告排行榜首位，影响了全球 5% 的组织。

　　自 2020 年 2 月以来，Emotets 攻击活动（主要是发送一波又一波的恶意垃圾邮件）开始放缓并最终停止， 直到 7 月再度现身。 2019 年曾出现过这种模式，当时 Emotet 僵尸网络在夏季停止活动，但于 9 月卷土重来。

　　7 月，Emotet 不断掀起恶意垃圾邮件攻击活动，使用 TrickBot 和 Qbot 感染受害者，进而窃取银行凭证并在网络内部传播。一些恶意垃圾邮件攻击活动包含名为“form.doc”或“invoice.doc”的恶意文档文件。据研究人员称，恶意文档将启动 PowerShell，以便从远程网站中拉取 Emotet 二进制文件并感染机器，从而将其添加到僵尸网络。Emotet 攻击活动卷土重来突显了全球僵尸网络的规模和强度。

　　Check Point 产品威胁情报与研究总监 Maya Horowitz 表示：“有趣的是，Emotet 在今年早些时候短暂休眠了数月，再现了我们于 2019 年首次发现的模式。我们可以假设僵尸网络背后的开发人员正在更新其特性和功能。由于其再度活跃起来，企业应确保员工了解如何识别携带这些威胁的恶意垃圾邮件类型，并警告员工警惕打开电子邮件附件或点击外部链接的风险。此外，企业还应考虑部署反恶意软件解决方案，以防止此类内容到达最终用户。”

　　研究团队还警告称“MVPower DVR 远程执行代码”是最常被利用的漏洞，全球 44% 的组织因此遭殃，其次是“OpenSSL TLS DTLS 心跳信息泄露”，影响了全球 42% 的组织。“HTTP 载荷命令行注入”位列第三，全球影响范围为 38%。

　　头号恶意软件家族

　　* 箭头表示与上月相比的排名变化。

　　本月，Emotet 是第一大恶意软件，全球 5% 的组织受到波及，紧随其后的是 Dridex 和 Agent Tesla，分别影响了 4% 的组织。

　　1. ↑ Emotet - Emotet 是一种能够自我传播的高级模块化木马。Emotet 最初是一种银行木马，但最近被用作其他恶意软件或恶意攻击的传播程序。它使用多种方法和规避技术来确保持久性和逃避检测。此外，它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。

　　2. ↑ Dridex – Dridex 是一种针对 Windows 平台的木马，据说通过垃圾邮件附件进行下载。 Dridex 不仅能够联系远程服务器并发送有关受感染系统的信息，而且还可以下载并执行从远程服务器接收的任意模块。

　　3. ↓ Agent Tesla – Agent Tesla 是一种用作键盘记录器和信息窃取程序的高级 RAT，能够监控和收集受害者的键盘输入与系统剪贴板、截图并盗取受害者电脑上安装的各种软件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端）的凭证。

　　最常被利用的漏洞

　　本月，“MVPower DVR 远程执行代码”是最常被利用的漏洞，全球 44% 的组织因此遭殃，其次是“OpenSSL TLS DTLS 心跳信息泄露”，影响了全球 42% 的组织。“HTTP 载荷命令行注入”位列第三，全球影响范围为 38%。

　　1. ↑ MVPower DVR 远程执行代码 - 一种存在于 MVPower DVR 设备中的远程代码执行漏洞。远程攻击者可利用此漏洞，通过精心设计的请求在受感染的路由器中执行任意代码。

　　2. ↓ OpenSSL TLS DTLS 心跳信息泄露（CVE-2014-0160；CVE-2014-0346） - 一种存在于 OpenSSL 中的信息泄露漏洞。该漏洞是因处理 TLS/DTLS 心跳包时发生错误所致。攻击者可利用该漏洞泄露联网客户端或服务器的内存内容。

　　3.↑ HTTP 载荷命令行注入 – 现已发现一种 HTTP 载荷命令行注入漏洞。远程攻击者可以通过向受害者发送特制的请求来利用此漏洞。攻击者可通过该漏洞在目标计算机上执行任意代码。

　　头号移动恶意软件家族

　　本月，xHelper 是第一大恶意软件，其次是 Necro 和 PreAMo。

　　1. xHelper - 自 2019 年 3 月以来开始肆虐的恶意应用，用于下载其他恶意应用并显示恶意广告。该应用能够对用户隐身，并在卸载后进行自我重新安装。

　　2. Necro - Necro 是一种木马植入程序，可下载其他恶意软件、显示侵入性广告，并通过收取付费订阅费用骗取钱财。

　　3. PreAmo - PreAmo 是一种 Android 恶意软件，通过点击从三家广告代理（Presage、Admob 和 Mopub）检索到的横幅来模拟用户。

　　Check Point《全球威胁影响指数》及其《ThreatCloud 路线图》基于 Check Point ThreatCloud 情报数据撰写而成，ThreatCloud 是打击网络犯罪的最大协作网络，可通过全球威胁传感器网络提供威胁数据和攻击趋势。ThreatCloud 数据库每天检查超过 25 亿个网站和 5 亿份文件，每天识别超过 2.5 亿起恶意软件攻击活动。

　　如欲查看 7 月份十大恶意软件家族的完整列表，请访问 Check Point 博客 。

　　关于 Check Point Research

　　Check Point Research 能够为 Check Point Software 客户以及整个情报界提供领先的网络威胁情报。Check Point 研究团队负责收集和分析 ThreatCloud 存储的全球网络攻击数据，以便在防范黑客的同时，确保所有 Check Point 产品都享有最新保护措施。此外，该团队由 100 多名分析师和研究人员组成，能够与其他安全厂商、执法机关及各个计算机安全应急响应组展开合作。

　　关于 Check Point 软件技术有限公司

　　Check Point 软件技术有限公司(www.checkpoint.com ) 是一家面向全球企业用户业内领先的信息安全解决方案提供商。Check Point 解决方案对恶意软件、勒索软件和高级目标威胁的防范率处于业界领先水准，可有效保护客户免受第五代网络攻击。Check Point 为业界提供前瞻性多级安全架构 Infinity Total Protection，这一组合产品架构具备第五代高级威胁防御能力，可全面保护企业的云、网络,移动，工业互联网和IOT系统。