点介绍了一项涉及恶意软件 AsyncRAT 的新活动,AsyncRAT 是一种自 2019 年以来针对 Windows 系统的远程访问木马。本月第四大流行的恶意软件 AsyncRAT 可实现数据窃取、命令执行和系统入侵。最新攻击利用 TryCloudflare 隧道和恶意 Python 包,从包含 Dropbox URL 的网络钓鱼电子邮件开始 月恶意软件聚焦 。这导致了涉及 LNK、JavaScript 和 BAT 文件的多步骤感染链,最终导致混淆的 AsyncRAT 有效负载部署。此活动反映了利用 Dropbox 和 TryCloudflare 等合法平台逃避检测并建立持久性的日益增长的趋势 月恶意软件聚焦 。
勒索软件威胁日益严重
2 月,勒索软件领域最活跃的组织之一 Clop Ransom 组织取得了巨大成功。2 月,该组织在其网站上公布了数十名受害者名单,这些受害者来自各个行业,包括制造业、运输业、IT 和技术服务业,其中几家大公司也受到影响。该组织一直非常活跃,专注于利用 CLEO 漏洞,这是他们利用文件共享软件零日漏洞的策略的一部分。这种方法使他们能够进行大规模数据泄露和勒索。Clop 的行动主要围绕成功入侵后进行大规模数据勒索。值得注意的是,该组织两年前首次因其大规模 MOVEit 攻击而引起广泛关注,该攻击影响了 2,600 多个组织和近 9000 万个人。
顶级恶意软件家族
*箭头表示与一月份相 月恶意软件聚焦 比的排名变化。
FakeUpdates 是 2 月份最流行的恶意软件,其次是 Androxgh0st 和 Remcos,共影响了全球 3% 的组织。
↔ FakeUpdates – FakeUpdates 又名 SocGholish,是一种于 2018 年首次发现的下载器恶意软件。它主要通过受感染或恶意网站上的驱动下载进行传播,鼓励用户安装虚假的浏览器更新。该恶意软件与俄罗斯黑客组织 Evil Corp 有关,通常用于在初次感染后传递二次有效载荷。
↑ Androxgh0st – AndroxGh0st 是一种基于 Python 的恶意软件,针对基于 Laravel PHP 框架构建的应用程序。它会扫描暴露的 .env 文件,这些文件通常包含敏感信息,例如 AWS、Twilio、Office 365 和 SendGrid 等服务的登录凭据。该恶意软件通过僵尸网络运行,该僵尸网络可识别运行 Laravel 的网站并提取机密数据。一旦攻击者获得访问权限, 他们就可以部 俄罗斯号码筛选 署其他恶意软件、建立后门连接并利用云资源进行加密货币挖掘等活动。
↔ Remcos— Remcos 是一种远程访问木马 (RAT),于 2016 年首次被发现。它通常通过网络钓鱼活动中的恶意文档进行传播。此 RAT 旨在绕过 Windows 安全功能(例如用户帐户控制 (UAC)),从而允许其以提升的权限执行恶意软件。因此,它是网络犯罪分子的多功能工具。
↑ AsyncRAT – AsyncRAT 是一种针对 Windows 系统的远程访问木马 (RAT),于 2019 年首 将在战神广场庆祝自己 次被发现。它会将系统信息泄露到命令和控制服务器,并可以执行各种命令,例如下载插件、终止进程、捕获屏幕截图和更新自身。AsyncRAT 通常通过网络钓鱼活动进行分发,用于数据窃取和系统入侵。
↑ AgentTesla —AgentTesla 是一种高级 RAT(远程访问木马),可用作键盘记录器和密码窃取程序。AgentTesla 自 2014 年以来一直活跃,可以监控和收集受害者
的键盘输入和系统剪贴板
记录屏幕截图并窃取受害者机器上安装的各种软件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端)的输入凭据。AgentTesla 公开作为合法 RAT 出售,客户需要支付 15 至 69 美元才能获得用户许可证。
↓ Formbook – Formbook 于 2016 年首次被发现,是一种主要针对 Windows 系统的信息窃取恶意软件。该恶意软件从各种 Web 浏览器收集凭据,收集屏幕截图、监视和记录击键,并可以下载和执行其他有效负载。该恶意软件通过网络钓鱼活动、恶意电子邮件附件和受感染的网站进行传播,通常伪装成合法文件。
↑ Rilide – Rilide 是一个恶意浏览器扩展程序,针对基于 Chromium 的浏 澳大利亚电话号码 览器,如 Chrome、Edge、Brave 和 Opera。它伪装成合法的 Google Drive 扩展程序,使威胁行为者能够监视浏览历史记录、截取屏幕截图并注入恶意脚本以从加密货币交易所提取资金。值得注意的是,Rilide 可以模拟对话框,诱骗用户泄露双因素身份验证 (2FA) 详细信息,从而促进未经授权的加密货币交易。它的分发方法包括恶意的 Microsoft Publisher 文件和欺骗性的 Google 广告,以推广虚假的软件安装程序。
↓ Phorpiex – Phorpiex 又名 Trik,是一个自 2010 年以来一直活跃的僵尸网络,主要针对 Windows 系统。在巅峰时期,Phorpiex 控制了超过一百万台受感染的主机。Phorpiex 因通过垃圾邮件活动传播其他恶意软件系列(包括勒索软件和加密货币挖矿程序)而臭名昭著,并参与了大规模的性勒索活动。