謹防Valak Variant惡意軟件– Check Point研究人員的建議

shahadat-rahman-BfrQnKBulYQ-不飛濺

Editor's brief: Researchers from Check Point have reported that a variant of the Valak malware has emerged in its September 2020 top malware report.編輯摘要:Check Point的研究人員報告說,在XNUMX年XNUMX月的頂級惡意軟件報告中,出現了Valak惡意軟件的變種。 The new Valak variant can potentially steal information from individuals and enterprises, and can potentially affect Microsoft Exchange-based mail servers, and also affect users' credentials and domain certificates.新的Valak變體可能會竊取個人和企業的信息,並可能影響基於Microsoft Exchange的郵件服務器,還可能影響用戶的憑據和域證書。 The vendor's news release is below.供應商的新聞發佈如下。

2020年10月最想要的惡意軟件:新的竊取信息的Valak Variant首次進入十大惡意軟件列表

Check Point研究人員發現使用新的Valak惡意軟件的攻擊急劇增加,而Emotet特洛伊木馬程序連續第三個月排名第一

新加坡,@mcgallen#microwire資訊,8年2020月XNUMX日 – Check Point Research,美國威脅情報部門 CheckPoint®軟件技術有限公司 (NASDAQ:CHKP),全球領先的網絡安全解決方案提供商,已發布了最新的2020年9月全球威脅指數。研究人員發現,最新版本的Valak惡意軟件已首次進入該指數,排名第XNUMX位XNUMX月的惡意軟件。

Valak於2019年末首次發現,是一種複雜的威脅,以前被歸類為惡意軟件加載器。 In recent months, new variants were discovered with significant functional changes which enable Valak to operate as an information-stealer capable of targeting both individuals and enterprises.在最近幾個月中,發現了具有重大功能變化的新變體,這使Valak能夠充當能夠同時針對個人和企業的信息竊取者。 This new version of Valak is able to steal sensitive information from Microsoft Exchange mail systems, as well as users' credentials and domain certificates.此新版本的Valak能夠從Microsoft Exchange郵件系統中竊取敏感信息以及用戶的憑據和域證書。 During September, Valak was spread widely by malspam campaigns containing malicious .doc files.在XNUMX月,Valak被包含惡意.doc文件的垃圾郵件活動廣泛傳播。

Emotet木馬連續第三個月在索引中排名第一,影響了全球1%的組織。 Qbot特洛伊木馬程序在14月首次進入該列表,但在10月也得到了廣泛使用,從該索引的第6位上升到第XNUMX位。

“這些傳播Valak的新活動是威脅行為者如何尋求最​​大化其在既定的,經過驗證的惡意軟件方面的投資的另一個示例。 Together with the updated versions of Qbot which emerged in August, Valak is intended to enable data and credentials theft at scale from organisations and individuals.與XNUMX月份發布的Qbot更新版本一起,Valak旨在使組織和個人大規模竊取數據和憑據。 Businesses should look at deploying anti-malware solutions that can prevent such content reaching end-users, and advise their employees to be cautious when opening emails, even when they appear to be from a trusted source,” said Maya Horowitz, Director, Threat Intelligence & Research, Products at Check Point.企業應考慮部署反惡意軟件解決方案,以防止此類內容傳播給最終用戶,並建議其員工在打開電子郵件時要謹慎,即使它們似乎來自受信任的來源,也是如此。”威脅情報總監Maya Horowitz說。與研究,Check Point產品。

“ OpenSSL TLS DTLS心跳信息披露(CVE-46-42; CVE-2014-0160)”對全球的影響為2014%。

頂級惡意軟件家族

*箭頭表示與上個月相比的排名變化。

本月,Emotet仍然是最受歡迎的惡意軟件,其全球影響力為14%的組織,其次是Trickbot和Dridex,分別影響全球4%和3%的組織。

  1. ↔Emotet – Emotet是一種高級的,自我傳播的模塊化木馬。 Emotet最初是銀行木馬,但最近被用作其他惡意軟件或惡意活動的分發者。 It uses multiple methods for maintaining persistence and evasion techniques to avoid detection.它使用多種方法來保持持久性和逃避技術,從而避免檢測。 In addition, it can be spread through phishing spam emails containing malicious attachments or links.此外,它還可以通過包含惡意附件或鏈接的網絡釣魚垃圾郵件來傳播。
  2. ↑Trickbot – Trickbot是一個占主導地位的銀行木馬,不斷使用新功能,功能和發行媒介進行更新。 This enables Trickbot to be a flexible and customisable malware that can be distributed as part of multi purposed campaigns.這使Trickbot成為靈活且可自定義的惡意軟件,可以作為多用途活動的一部分進行分發。
  3. ↑Dridex – Dridex是針對Windows平台的木馬,據報導是通過垃圾郵件附件下載的。 Dridex聯繫遠程服務器並發送有關受感染系統的信息。 它還可以下載並執行從遠程服務器接收的任意模塊。

利用最嚴重的漏洞

“ OpenSSL TLS DTLS心跳信息披露(CVE-46-42; CVE-2014-0160)”排名第三,對全球的影響為2014%。

  1. ↑MVPower DVR遠程代碼執行 – MVPower DVR設備中存在一個遠程執行代碼漏洞。 遠程攻擊者可以利用此漏洞通過精心設計的請求在受影響的路由器中執行任意代碼。
  2. 茶山GPON路由器身份驗證旁路(CVE-2018-10561) – Dasan GPON路由器中存在一個身份驗證繞過漏洞。 成功利用此漏洞將使遠程攻擊者可以獲得敏感信息並獲得對受影響系統的未授權訪問。
  3. ↑OpenSSL TLS DTLS心跳信息披露(CVE-2014-0160; CVE-2014-0346) – OpenSSL中存在一個信息洩露漏洞。 該漏洞是由於處理TLS / DTLS心跳數據包時出錯。 攻擊者可以利用此漏洞來披露連接的客戶端或服務器的內存內容。

頂級移動惡意軟件家族

本月xHelper是最受歡迎的移動惡意軟件,其次是Xafecopy和Hiddad。

  1. xHelper –自2019年XNUMX月以來在野外普遍看到的惡意應用程序,用於下載其他惡意應用程序和顯示廣告。 The application can hide itself from the user, and reinstall itself in case it was uninstalled.該應用程序可以向用戶隱藏自己,並在卸載後重新安裝。
  2. Xafekopy – Xafecopy Trojan被偽裝成有用的應用程序,例如Battery Master。 The Trojan secretly loads malicious code onto the device.特洛伊木馬秘密地將惡意代碼加載到設備上。 Once the app is activated, the Xafecopy malware clicks on web pages with Wireless Application Protocol (WAP) billing – a form of mobile payment that charges costs directly to the user's mobile phone bill.激活該應用程序後,Xafecopy惡意軟件會單擊帶有無線應用程序協議(WAP)計費的網頁-一種移動支付形式,直接將費用記入用戶的手機賬單中。
  3. 希達德– Hiddad是一種Android惡意軟件,可以對合法應用進行重新打包,然後將其發佈到第三方商店。 它的主要功能是顯示廣告,但它也可以訪問操作系統內置的關鍵安全詳細信息。

Check Point的全球威脅影響指數及其ThreatCloud Map由Check Point的ThreatCloud智能技術提供支持,該智能網絡是打擊網絡犯罪的最大協作網絡,可從全球威脅傳感器網絡提供威脅數據和攻擊趨勢。 ThreatCloud數據庫每天檢查超過2.5億個網站和500億個文件,每天識別超過250億個惡意軟件活動。

您可以在以下網址找到10月份十大惡意軟件家族的完整列表: Check Point博客。 Check Point的威脅防護資源可從以下網站獲得: http://www.checkpoint.com/threat-prevention-resources/index.html.

關於Check Point研究
Check Point Research為Check Point軟件客戶和更大的情報界提供領先的網絡威脅情報。 研究團隊收集並分析存儲在ThreatCloud上的全球網絡攻擊數據,以阻止黑客攻擊,同時確保所有Check Point產品都已得到最新保護。 該研究團隊由100多名分析師和研究人員組成,他們與其他安全廠商,執法部門和各種CERT合作。

通過以下方式關注Check Point Research:

關於Check Point軟件技術有限公司
Check Point軟件技術有限公司(www.checkpoint.com)是為全球政府和企業提供網絡安全解決方案的領先提供商。 Check Point的解決方案通過行業領先的惡意軟件,勒索軟件和高級針對性威脅捕獲率,保護客戶免受第五代網絡攻擊。 Check Point提供了多層安全體系結構,“具有Gen V高級威脅防禦功能的Infinity全面保護”,這種組合的產品體系結構可保護企業的雲,網絡和移動設備。 Check Point提供了最全面,最直觀的控制安全管理系統。 Check Point可保護超過5個各種規模的組織。

###