谨防Valak Variant恶意软件– Check Point研究人员的建议

shahadat-rahman-BfrQnKBulYQ-不飞溅

Editor's brief: Researchers from Check Point have reported that a variant of the Valak malware has emerged in its September 2020 top malware report.编辑摘要:Check Point的研究人员报告说,在XNUMX年XNUMX月的顶级恶意软件报告中,出现了Valak恶意软件的变种。 The new Valak variant can potentially steal information from individuals and enterprises, and can potentially affect Microsoft Exchange-based mail servers, and also affect users' credentials and domain certificates.新的Valak变体可能会窃取个人和企业的信息,并可能影响基于Microsoft Exchange的邮件服务器,还可能影响用户的凭据和域证书。 The vendor's news release is below.供应商的新闻发布如下。

2020年10月最想要的恶意软件:新的窃取信息的Valak Variant首次进入十大恶意软件列表

Check Point研究人员发现使用新的Valak恶意软件的攻击急剧增加,而Emotet特洛伊木马程序连续第三个月排名第一

新加坡,@mcgallen#microwire资讯,8年2020月XNUMX日 – Check Point Research,美国威胁情报部门 CheckPoint®软件技术有限公司 (NASDAQ:CHKP),全球领先的网络安全解决方案提供商,已发布了最新的2020年9月全球威胁指数。研究人员发现,最新版本的Valak恶意软件已首次进入该指数,排名第XNUMX位XNUMX月的恶意软件。

Valak于2019年末首次发现,是一种复杂的威胁,以前被归类为恶意软件加载器。 In recent months, new variants were discovered with significant functional changes which enable Valak to operate as an information-stealer capable of targeting both individuals and enterprises.在最近几个月中,发现了具有重大功能变化的新变体,这使Valak能够充当能够同时针对个人和企业的信息窃取者。 This new version of Valak is able to steal sensitive information from Microsoft Exchange mail systems, as well as users' credentials and domain certificates.此新版本的Valak能够从Microsoft Exchange邮件系统中窃取敏感信息以及用户的凭据和域证书。 During September, Valak was spread widely by malspam campaigns containing malicious .doc files.在XNUMX月,Valak被包含恶意.doc文件的垃圾邮件活动广泛传播。

Emotet木马连续第三个月在索引中排名第一,影响了全球1%的组织。 Qbot特洛伊木马程序在14月份首次进入该列表,并在10月份得到了广泛使用,从该索引的第6位上升到第XNUMX位。

“这些传播Valak的新活动是威胁参与者如何寻求最大化其在已建立的,经过验证的恶意软件方面的投资的另一个示例。 Together with the updated versions of Qbot which emerged in August, Valak is intended to enable data and credentials theft at scale from organisations and individuals.与XNUMX月份发布的Qbot更新版本一起,Valak旨在使组织和个人大规模窃取数据和凭据。 Businesses should look at deploying anti-malware solutions that can prevent such content reaching end-users, and advise their employees to be cautious when opening emails, even when they appear to be from a trusted source,” said Maya Horowitz, Director, Threat Intelligence & Research, Products at Check Point.企业应考虑部署反恶意软件解决方案,以防止此类内容传播给最终用户,并建议其员工在打开电子邮件时应谨慎,即使电子邮件似乎来自受信任的来源,也应如此。”威胁情报总监Maya Horowitz说。与研究,Check Point产品。

“ OpenSSL TLS DTLS心跳信息披露(CVE-46-42; CVE-2014-0160)”对全球的影响为2014%。

顶级恶意软件家族

*箭头表示与上个月相比的排名变化。

本月,Emotet仍然是最受欢迎的恶意软件,其全球影响力为14%的组织,其次是Trickbot和Dridex,分别影响全球4%和3%的组织。

  1. ↔Emotet – Emotet是一种高级的,自我传播的模块化木马。 Emotet最初是银行木马,但最近被用作其他恶意软件或恶意活动的分发者。 It uses multiple methods for maintaining persistence and evasion techniques to avoid detection.它使用多种方法来保持持久性和逃避技术,从而避免检测。 In addition, it can be spread through phishing spam emails containing malicious attachments or links.此外,它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件来传播。
  2. ↑Trickbot – Trickbot是一个占主导地位的银行木马,不断使用新功能,功能和发行媒介进行更新。 This enables Trickbot to be a flexible and customisable malware that can be distributed as part of multi purposed campaigns.这使Trickbot成为灵活且可自定义的恶意软件,可以作为多用途活动的一部分进行分发。
  3. ↑Dridex – Dridex是针对Windows平台的木马,据报道是通过垃圾邮件附件下载的。 Dridex联系远程服务器并发送有关受感染系统的信息。 它还可以下载并执行从远程服务器接收的任意模块。

利用最严重的漏洞

“ OpenSSL TLS DTLS心跳信息披露(CVE-46-42; CVE-2014-0160)”排名第三,对全球的影响为2014%。

  1. ↑MVPower DVR远程代码执行 – MVPower DVR设备中存在一个远程执行代码漏洞。 远程攻击者可以利用此漏洞通过精心设计的请求在受影响的路由器中执行任意代码。
  2. 茶山GPON路由器身份验证绕过(CVE-2018-10561) – Dasan GPON路由器中存在一个身份验证绕过漏洞。 成功利用此漏洞将使远程攻击者可以获得敏感信息并获得对受影响系统的未授权访问。
  3. ↑OpenSSL TLS DTLS心跳信息披露(CVE-2014-0160; CVE-2014-0346) – OpenSSL中存在一个信息泄露漏洞。 该漏洞是由于处理TLS / DTLS心跳数据包时出错。 攻击者可以利用此漏洞来披露连接的客户端或服务器的内存内容。

顶级移动恶意软件家族

本月xHelper是最受欢迎的移动恶意软件,其次是Xafecopy和Hiddad。

  1. xHelper –自2019年XNUMX月以来在野外普遍看到的恶意应用程序,用于下载其他恶意应用程序和显示广告。 The application can hide itself from the user, and reinstall itself in case it was uninstalled.该应用程序可以向用户隐藏自己,并在卸载后重新安装。
  2. Xafekopy – Xafecopy Trojan被伪装成有用的应用程序,例如Battery Master。 The Trojan secretly loads malicious code onto the device.特洛伊木马秘密地将恶意代码加载到设备上。 Once the app is activated, the Xafecopy malware clicks on web pages with Wireless Application Protocol (WAP) billing – a form of mobile payment that charges costs directly to the user's mobile phone bill.激活该应用程序后,Xafecopy恶意软件会单击带有无线应用程序协议(WAP)计费的网页-一种移动支付形式,直接将费用记入用户的手机账单中。
  3. 希达德- Hiddad是一种Android恶意软件,会重新打包合法应用程序,然后将其发布到第三方商店。 它的主要功能是显示广告,但它也可以访问操作系统内置的关键安全详细信息。

Check Point的全球威胁影响指数及其ThreatCloud Map由Check Point的ThreatCloud智能技术提供支持,该智能网络是打击网络犯罪的最大协作网络,可从全球威胁传感器网络提供威胁数据和攻击趋势。 ThreatCloud数据库每天检查超过2.5亿个网站和500亿个文件,每天识别超过250亿个恶意软件活动。

您可以在以下网址找到10月份十大恶意软件家族的完整列表: Check Point博客。 Check Point的威胁防护资源可从以下网站获得: http://www.checkpoint.com/threat-prevention-resources/index.html.

关于Check Point研究
Check Point Research为Check Point软件客户和更大的情报界提供领先的网络威胁情报。 研究团队收集并分析存储在ThreatCloud上的全球网络攻击数据,以阻止黑客攻击,同时确保所有Check Point产品都已得到最新保护。 该研究团队由100多位分析师和研究人员组成,他们与其他安全厂商,执法部门和各种CERT合作。

通过以下方式关注Check Point Research:

关于Check Point软件技术有限公司
Check Point软件技术有限公司(www.checkpoint.com)是为全球政府和企业提供网络安全解决方案的领先提供商。 Check Point的解决方案通过行业领先的恶意软件,勒索软件和高级针对性威胁捕获率,保护客户免受第五代网络攻击。 Check Point提供了多层安全体系结构,“具有Gen V高级威胁防御功能的Infinity全面保护”,这种组合的产品体系结构可保护企业的云,网络和移动设备。 Check Point提供了最全面,最直观的控制安全管理系统。 Check Point可保护超过5个各种规模的组织。

###