网络安全方案供应商 Check Point 研究人员 2020 年 6 月《头号通缉恶意软件》(Most Wanted Malware)报告,分析针对组织的最常见网络威胁,结果发现过去一个月透过 Phorpiex 僵尸网络(Botnet)发动的攻击有大量增加的状况。
散播内含恶意 Zip 附件档的垃圾邮件,邮件主旨有个眨眼表情符号
Phorpiex 以分发大量恶意软件和包括大规模性爱勒索邮件(Sextortion Email)等垃圾邮件活动闻名,但与 5 月相比,6 月被侦测发现的次数有显著增加的趋势。由于 Phorpiex 侦测数量攀升达如此程度,以至于成为 6 月侦测第二多的恶意软件活动,5 月排名只有 13 名。由于试图攻击的次数如此多,以至于有 2% 组织被僵尸网络锁定为目标。
这个僵尸网络发出许多尝试向受害者传送恶意负载的垃圾邮件。过去一个月,已用来发动新型“Avaddon”勒索软件活动。这是一个 6 月才出现的特定勒索软件家族,Phorpeix 试图引诱受害者打开一封钓鱼邮件的 Zip 附件档,邮件主旨是一个眨眼表情符号。这听起来像是基本形式的网络攻击,但如果使用者不点附件档,犯罪分子便无下手之处。
在此之前,Phorpiex(也称为 Trik)就用来发动可散播其他形式勒索软件(包括 GandCrab 和 Pony)的垃圾邮件攻击活动,同时用来在受感染机器进行加密货币的挖矿作业。Check Point 研究人员在一则部落格贴文中警告指出:“组织应该教育员工如何辨识会夹带这些威胁的垃圾邮件类型,例如以内含眨眼表情符号之恶意邮件来锁定使用者的最新攻击活动,并确保他们部署能主动防止他们感染自己网络的安全机制。”
另外要注意会偷光资讯的 Agent Tesla,以及将使用者电脑当作挖矿机的 XMRig
尽管 Porpiex 攻击大幅增加,但 6 月最活跃的恶意软件是一种先进的远端存取木马 Agent Tesla,Check Point 并发现有 3% 组织被锁定。Agent Tesla 是资讯窃取软件和击键记录程式,让攻击者看光光受感染电脑的所有内容,包括使用者名称、密码、浏览器历史纪录、系统资讯等,换言之,入侵网络所需的一切资讯都能窃取。
此外,6 月发现的第三大恶意软件是 XMRig,是开放源代码恶意加密货币挖扩软件,利用受感染机器的 CPU 效能产生虚拟门罗币(Monero)。此恶意软件打从 2017 年 5 月以来一直很活跃。
除了上述恶意软件,今年 6 月十大通缉恶意软件名单,还有包括 Dridex、Trickbot、Ramnit 和 Emotet 等大家都耳熟能详的名字,都是长期网络犯罪活动的主要工具,不是用来窃取资讯,就是当作更具破坏性活动的垫脚石。例如 Trickbot 和 Emotet 就常用作规模勒索软件攻击的第一阶段工具。
- This botnet has surged back into action spreading a new ransomware campaign via phishing emails
(首图来源:Flickr/Blogtrepreneur CC BY 2.0)
