Check Point 软件技术公司的最新威胁指数报告显示，Lumma Stealer 等信息窃取程序显著增加，而 Necro 等移动恶意软件依然构成重大威胁，说明全球网络犯罪分子正不断翻新花样。

2024 年 11 月 ，领先的云端 AI 解决方案网络安全平台提供商 Check Point® 软件技术有限公司（纳斯达克股票代码：CHKP）发布了其 2024 年 10 月《全球威胁指数》报告。本月的报告着重关注了网络安全领域中一个令人堪忧的趋势，即信息窃取程序大量涌现，网络犯罪分子的攻击手段愈加复杂。

在10月份，研究人员发现了一个利用虚拟验证码页面散播 Lumma Stealer 恶意软件（已跃升至月度头号恶意软件排行榜第四位）的感染链。这一攻击活动的显著特点是全球散播，已通过两个主要感染向量影响了多个国家（地区）：一个是破解的游戏下载 URL，另一个是针对 GitHub 用户的网络钓鱼电子邮件（一种新的攻击向量）。在感染过程中，受害者会被误导执行已复制到其剪贴板上的恶意脚本。如今，信息窃取程序日趋肆虐，是网络犯罪分子从受感染系统中窃取凭证和敏感数据的一种有效手段。

在移动恶意软件领域，新版 Necro 已成为一个重大威胁，在移动恶意软件榜单中位列第二。Necro 感染了各种热门应用，包括 Google Play 上提供的游戏模组，累计攻击了超过 1100 万台 Android 设备。该恶意软件采用混淆技术逃避检测，并利用隐写技术（即将信息隐藏在另一个消息或物理对象中以逃避检测）隐藏其有效载荷。一旦激活，它就会在隐形窗口中显示广告，与之交互，甚至为受害者订阅付费服务，这充分表明攻击者为牟取不义之财可谓费尽心思。

Check Point 软件技术公司研究副总裁 Maya Horowitz 对于当前威胁形势评论道：“复杂信息窃取程序大量涌现，表明威胁形势愈发严峻。网络犯罪分子正在不断升级其方法，并利用创新攻击向量。各机构必须采取自适应主动安全防护措施来抵御新兴威胁，以有效地应对这些长期挑战，而不仅仅限于实施传统防御机制。”

头号恶意软件家族

* 箭头表示与上月相比的排名变化。

FakeUpdates 是本月最猖獗的恶意软件，全球 6% 的机构受到波及，其次是 Androxgh0st 和 AgentTesla，分别影响了全球 5% 和 4% 的组织与机构。

1.  FakeUpdates – FakeUpdates（又名 SocGholish）是一种使用 JavaScript 编写的下载程序。它会在启动有效载荷之前先将其写入磁盘。FakeUpdates 通过许多其他恶意软件（包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult）引致进一步破坏。

2.  Androxgh0st - Androxgh0st 是一个针对 Windows、Mac 及 Linux 平台的僵尸网络。在感染初始阶段，Androxgh0st 利用多个漏洞，特别是针对 PHPUnit、Laravel 框架和 Apache Web 服务器的漏洞。该恶意软件会窃取 Twilio 账户信息、SMTP 凭证、AWS 密钥等敏感信息，并利用 Laravel 文件收集所需信息。它有不同的变体，可扫描不同的信息。

3. ↑ AgentTesla – AgentTesla 是一种用作键盘记录器和信息窃取程序的高级 RAT，能够监控和收集受害者的键盘输入与系统剪贴板、截图并盗取受害者电脑上安装的各种软件（包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端）的证书。

4. ↑ Lumma Stealer - Lumma Stealer（又称为 LummaC2）是一种信息窃取恶意软件，自 2022 年以来一直作为恶意软件即服务 (MaaS) 平台运行。该恶意软件于 2022 年年中被发现，目前仍在不断演变，并在俄语论坛上大肆传播。作为一种典型的信息窃取程序，LummaC2 主要从受感染系统中窃取各种数据，包括浏览器凭证和加密货币账户信息。

5. ↓ Formbook – Formbook 是针对 Windows 操作系统的信息窃取程序，于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格，它在地下黑客论坛中作为恶意软件即服务 (MaaS) 进行出售。FormBook 可从各种 Web 浏览器中获取凭证、收集截图、监控和记录击键次数并按照其 C&C 命令下载和执行文件。

6. ↑ NJRat - NJRat 是一种远程访问木马，主要针对中东地区的政府机构和组织。该木马于 2012 年首次出现，具有多项功能：捕获击键记录、访问受害者的摄像头、窃取浏览器中存储的凭证、上传和下载文件、操纵进程和文件以及查看受害者的桌面。NJRat 通过网络钓鱼攻击和偷渡式下载感染受害者设备，并在命令与控制服务器软件的支持下，通过受感染的 USB 密钥或网盘进行传播。

7. ↑ AsyncRat - Asyncrat 是一种针对 Windows 平台的木马程序。该恶意软件会向远程服务器发送目标系统的系统信息。它从服务器接收命令，以下载和执行插件、终止进程、进行自我卸载/更新，并截取受感染系统的屏幕截图。

8. ↑ Remcos - Remcos 是一种远程访问木马，于 2016 年首次现身。Remcos 通过垃圾电子邮件随附的恶意 Microsoft Office 文档自行传播，旨在绕过 Microsoft Windows UAC 安全保护并以高级权限执行恶意软件。

9.  Glupteba - Glupteba 自 2011 年被发现，是一种后门病毒，已逐渐发展为僵尸网络。到 2019 年，它包括 C&C 地址更新机制、完整的浏览器窃取程序功能及路由器漏洞利用程序。

10. ↓ Vidar - Vidar 是一种以恶意软件即服务模式运行的信息窃取恶意软件，于 2018 年底首次现身。该恶意软件在 Windows 上运行，不仅可从浏览器和数字钱包中收集各种敏感数据，而且还被用作勒索软件的下载程序。

主要移动恶意软件

本月，Joker 位列最猖獗的移动恶意软件榜首，其次是 Necro 和 Anubis。

1.  Joker – 一种存在于 Google Play 中的 Android 间谍软件，可窃取短消息、联系人列表及设备信息。此外，该恶意软件还能够在广告网站上偷偷地为受害者注册付费服务。

2. ↑ Necro - Necro 是一种木马植入程序，可下载其他恶意软件、显示侵入性广告，并通过收取付费订阅费用骗取钱财。

3. ↓ Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自最初检测到以来，它已经具有一些额外的功能，包括远程访问木马 (RAT) 功能、键盘记录器、录音功能及各种勒索软件特性。在谷歌商店提供的数百款不同应用中均已检测到该银行木马。

主要勒索软件团伙 

这些数据基于从双重勒索勒索软件团伙运营的勒索软件“羞辱网站”（攻击者在这些网站上公布受害者信息）获得的洞察分析。本月，RansomHub 是最猖獗的勒索软件团伙，其攻击数量占已发布攻击的 17%，其次是 Play 和 Meow，分别占 10% 和 5%。

1. RansomHub – RansomHub 是一种勒索软件即服务 (RaaS) 操作，据称是已知 Knight 勒索软件的翻版。2024 年初，RansomHub 在地下网络犯罪论坛上初露锋芒，因其针对各种系统（包括 Windows、macOS、Linux，尤其是 VMware ESXi 环境）发起的破坏性攻击活动，以及采用的复杂加密方法而臭名昭著。

2. Play - Play 勒索软件又称为 PlayCrypt，于 2022 年 6 月首次现身。这一勒索软件瞄准北美洲、南美洲和欧洲的众多企业和关键基础设施，到 2023 年 10 月影响了大约 300 家实体。Play 勒索软件通常通过被盗的有效账户或利用未修补的漏洞（如 Fortinet SSL VPN 中的漏洞）侵入网络。得逞后，它会采用离地攻击二进制文件 (LOLBins) 等各种手段来执行数据泄露和凭证窃取等任务。

3. Meow - Meow 勒索软件是一种基于 Conti 勒索软件的变体，因能够加密受感染系统上的各种文件而广为人知。它会在文件名后添加“.MEOW”扩展名，然后留下一封名为“readme.txt”的勒索信，要求受害者通过电子邮件或 Telegram 联系攻击者，谈判赎金支付事宜。Meow 勒索软件通过各种向量传播，包括未受保护的 RDP 配置、垃圾电子邮件及恶意下载，并使用 ChaCha20 加密算法来锁定文件，不包括“.exe”和文本文件。