2023 年 11 月头号恶意软件：新型 AsyncRAT 攻击活动爆发

研究人员发现了一起新型 AsyncRAT 攻击活动，其中恶意 HTML 文件被用来传播隐蔽的恶意软件。

2023 年 12 月，全球领先的网络安全解决方案提供商 Check Point® 软件技术有限公司（纳斯达克股票代码：CHKP）发布了其 2023 年 11 月《全球威胁指数》报告。上月，研究人员发现了一起新型 AsyncRAT 攻击活动，其中恶意 HTML 文件被用来传播

隐蔽的恶意软件。与此同时，JavaScript 下载程序 FakeUpdates 在跌出前十排行榜两个月后，直接跃升至第二位；教育行业仍然是全球受影响最大的行业。

AsyncRAT 是一种远程访问木马 (RAT)，因能够在不被察觉的情况下远程监控和操纵计算机系统而备受关注。该恶意软件在上个月前十排行榜中位列第六，它利用 PowerShell 和 BAT 等多种文件格式实施进程注入。在上个月发现的 AsyncRAT 攻击活动中，收件人会收到一封包含嵌入式链接的电子邮件，一旦点击链接，便会触发下载一个恶意 HTML 文件，继而引发一系列事件。这意味着该恶意软件可以将自身伪装成受信任的应用以逃避检测。

与此同时，下载程序 FakeUpdates 在沉寂两个月后重返头号恶意软件排行榜。该恶意软件的分发框架使用 JavaScript 编写，通过部署受感染的网站来诱骗用户运行虚拟的浏览器更新，并通过许多其他恶意软件（包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult）引致进一步破坏。

Check Point 软件技术公司研究副总裁 Maya Horowitz 表示："十一月的网络威胁事件说明了攻击者正利用看似无害的方法入侵网络。AsyncRAT 攻击活动的爆发和 FakeUpdates 的卷土重来都凸显了一种趋势，即攻击者开始利用看似简单的方法绕过传统防御机制。这表明企业需要采用多层防护方法，不仅要识别已知威胁，还要能够识别、防御和响应新型攻击向量，以防患于未然。"

CPR 还指出，"HTTP 载荷命令行注入"是最常被利用的漏洞，全球 45% 的机构因此遭殃，其次是"Web 服务器恶意 URL 目录遍历漏洞"，影响了全球 42% 的机构。"Zyxel ZyWALL 命令注入 (CVE-2023-28771)"位列第三，全球影响范围为 41%。

头号恶意软件家族

* 箭头表示与上月相比的排名变化。

Formbook 是上个月最猖獗的恶意软件，全球 3% 的机构受到波及，其次是 FakeUpdates 和 Remcos，分别影响了全球 2% 和 1% 的机构。

1. Formbook - Formbook 是针对 Windows

操作系统的信息窃取程序，于 2016 年首次被发现。由于其强大的规避技术和

相对较低的价格，它在地下黑客论坛中作为恶意软件即服务 (MaaS) 进行出售。FormBook 可从各种 Web 浏览器中获取凭证、收集截图、监控和记录击键次数并按照其 C&C 命令下载和执行文件。

2. ↑ FakeUpdates - FakeUpdates（又名 SocGholish）是一种使用 JavaScript 编写的下载程序。它会在启动有效载荷之前先将其写入磁盘。FakeUpdates 通过许多其他恶意软件（包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult）引致进一步破坏。

3. Remcos - Remcos 是一种远程访问木马，于 2016 年首次现身。Remcos 通过垃圾电子邮件随附的恶意 Microsoft Office 文档自行传播，旨在绕过 Microsoft Windows UAC 安全保护并以高级权限执行恶意软件。

主要移动恶意软件

上月，Anubis 仍然位居最猖獗的移动恶意软件榜首，其次是 AhMyth 和 SpinOk。

1. Anubis - Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自最初检测到以来，它已经具有一些额外的功能，包括远程访问木马 (RAT) 功能、键盘记录器、录音功能及各种勒索软件特性。在谷歌商店提供的数百款不同应用中均已检测到该银行木马。

2. AhMyth - AhMyth 是一种远程访问木马 (RAT)，于 2017 年被发现，可通过应用商店和各种网站上的 Android 应用进行传播。当用户安装这些受感染的应用后，该恶意软件便可从设备收集敏感信息，并执行键盘记录、屏幕截图、发送短信和激活摄像头等操作，这些操作通常用于窃取敏感信息。

3. SpinOk - SpinOk 是一种用作间谍软件的 Android 软件模块，可收集设备上保存的文件信息，并将其传输给攻击者。截至 2023 年 5 月，该恶意模块在 100 多款 Android 应用中均有发现，下载量超过 4.21 亿次。

Check Point《全球威胁影响指数》及其《ThreatCloud 路线图》基于 Check Point ThreatCloud 情报数据撰写而成。ThreatCloud 提供的实时威胁情报来自于部署在全球网络、端点和移动设备上的数亿个传感器。AI 引擎和 Check Point 软件技术公司情报与研究部门 Check Point Research 的独家研究数据进一步丰富了这些情报内容。

如欲查看 11 月份十大恶意软件家族的完整列表，请访问 Check Point 博客。