美国和澳大利亚 络安全机构发布2021年“顶级恶意软件”清单

根据 络安全和基础设施安全局(CISA)和澳大利亚 络安全中心(ACSC)发布的新列表。

络安全机构表示，2021年，主要恶意软件类型包括远程访问木马(RAT)、银行木马、信息窃取程序和勒索软件。

2021年排名靠前的恶意软件类型是：Agent Tesla、AZORult、Formbook、Ursnif、LokiBot、MOUSEISLAND、NanoCore、Qakbot、Remcos、TrickBot和GootLoader。

恶意软件Agent Tesla、AZORult、Formbook、LokiBot、NanoCore、Remcos 和TrickBot，这些被使用了至少五年。

Qakbot和Ursnif，已被部署了十多年。

恶意软件通常会不断更新，并且一个恶意软件的代码可能会被其他人重复使用。

Qakbot和TrickBot用于构成僵尸 络，由 络犯罪分子开发和运营，这些犯罪分子通过控制僵尸 络来促进利润丰厚的勒索软件攻击。

根据美国政府的 告，TrickBot恶意软件通常会启用Conti勒索软件的初始访问权限，该勒索软件在2021年上半年被用于近450次全球勒索软件攻击。

2021年， 络犯罪分子利用Formbook、Agent Tesla和Remcos恶意软件开展了大规模 络钓鱼活动，这些恶意软件结合了COVID-19大流行主题，以窃取企业和个人的个人数据和凭证。

在包括恶意软件即服务(MaaS)在内的犯罪恶意软件行业中，开发人员会创建恶意软件，恶意软件分发者会将这些恶意软件出售给下一级恶意软件运营商。

这些2021年顶级恶意软件的开发人员在几年内持续支持、改进和分发他们的恶意软件。恶意软件开发人员受益于利润丰厚的 络黑产运营。许多恶意软件开发人员通常在几乎没有法律禁止恶意软件开发和部署的地方开展业务。一些开发人员甚至将他们的恶意软件产品作为合法的 络安全工具进行营销。

例如，Remcos和Agent Tesla的开发人员将该软件作为远程管理和渗透测试的合法工具进行营销。恶意软件运营者以低成本在线购买Remcos和Agent Tesla。

大多数恶意软件都利用 络钓鱼邮件和恶意附件传播，因为传统的安全检测很容易被攻击者绕过。

顶级恶意软件清单：

Agent Tesla

概述：Agent Tesla能够从邮件客户端、Web浏览器和文件传输协议(FTP)服务器窃取数据。该恶意软件还可以捕获屏幕截图、视频和Windows剪贴板数据。Agent Tesla以管理个人电脑的合法工具为幌子，可以在线购买。它的开发人员继续添加新功能，包括混淆功能和针对凭据窃取的其他应用程序。

活跃时间:2014

恶意软件类型：RAT（远程访问木马）

传递方法：通常作为 络钓鱼电子邮件中的恶意附件传递。

AZORult

概述：AZORult用于从受感染的系统中窃取信息。它已在地下黑客论坛上出售，用于窃取浏览器数据、用户凭据和加密货币信息。AZORult的开发人员不断更新其功能。

活跃时间：2016

恶意软件类型：木马

交付方式： 络钓鱼、受感染的 站、漏洞利用工具包（利用已知软件漏洞的自动化工具包），或通过下载和安装AZORult的恶意软件投放器。

FormBook

概述：FormBook是在黑客论坛上宣传的信息窃取程序。ForrmBook能够记录和捕获浏览器或电子邮件客户端密码，但其开发人员继续更新恶意软件以利用最新的常见漏洞，例如Microsoft MSHTML 远程代码执行漏洞（CVE-2021-40444）。

活动时间：至少2016年

恶意软件类型：木马

投递方式：通常作为钓鱼邮件的附件投递。

Ursnif

概述：Ursnif是一种窃取金融信息的银行木马。Ursnif也被称为Gozi，多年来已经发展到包括持久性机制、避免沙箱和虚拟机的方法，以及磁盘加密软件的搜索功能，以尝试提取未加密文件的密钥。基于根据来自受信任的第三方的信息，截至2022年7月，Ursnif基础设施仍处于活跃状态。

活跃时间：2007

恶意软件类型：木马

投递方式：通常作为钓鱼邮件的恶意附件投递。

LokiBot

概述：LokiBot是一种木马恶意软件，用于窃取敏感信息，包括用户凭据、加密货币钱包和其他凭据。2020年LokiBot变体被伪装成Fortnite多人视频游戏的启动器。

活跃时间：2015

恶意软件类型：木马

投递方式：通常作为恶意电子邮件附件投递。

MOUSEISLAND

概述：MOUSEISLAND通常位于Microsoft Word文档的嵌入式宏中，并且可以下载其他有效负载。MOUSEISLAND可能是勒索软件攻击的初始阶段。

活跃时间：至少2019年

恶意软件类型：宏下载器

交付方式：通常作为电子邮件附件分发。

NanoCore

概述：NanoCore用于窃取受害者的信息，包括密码和电子邮件。NanoCore还可能允许恶意用户激活计算机的 络摄像头来监视受害者。恶意软件开发人员继续开发附加功能，作为可供购买的插件或作为恶意软件工具包或在恶意 络参与者之间共享。

活跃时间：2013

恶意软件类型：RAT（远程访问木马）

交付方式：已在电子邮件中作为恶意ZIP文件中的ISO磁盘映像交付；也在云存储服务上托管的恶意PDF文档中发现。

Qakbot

概述：最初被视为银行木马，Qakbot的功能已经发展到包括执行侦察、横向移动、收集和泄露数据以及交付有效负载。Qakbot也称为QBot或Pinksllot，本质上是模块化的，使恶意 络攻击者能够根据自己的需要对其进行配置。Qakbot也可用于形成僵尸 络。

活跃时间：2007

恶意软件类型：木马

传递方式：可以通过电子邮件以恶意附件、超链接或嵌入图像的形式传递。

Remcos

概述：Remcos作为用于远程管理和渗透测试的合法软件工具进行销售。Remcos是Remote Control and Surveillance的缩写，在COVID-19（新冠病毒）大流行期间被攻击者利用进行大规模 络钓鱼活动来窃取个人数据和凭据。

Remcos在目标系统上安装了一个后门。然后，恶意 络攻击者使用Remcos后门发出命令并获得管理员权限，同时绕过防病毒产品、保持持久性并通过将自身注入Windows进程作为合法进程运行。

活跃时间：2016

恶意软件类型：RAT

投递方式：通常在钓鱼邮件中作为恶意附件投递。

TrickBot

概述：TrickBot恶意软件通常用于形成僵尸 络或启用Conti勒索软件或Ryuk银行木马的初始访问权限。TrickBot由一群复杂的恶意 络参与者开发和运营，并已演变成高度模块化、多阶段的恶意软件。

2020年， 络犯罪分子使用TrickBot攻击医疗保健和公共卫生(HPH)部门，然后发起勒索软件攻击、泄露数据或破坏医疗保健服务。根据来自受信任第三方的信息，TrickBot的基础设施在2022年7月仍处于活跃状态。

活跃时间：2016

恶意软件类型：木马

交付方式：通常通过电子邮件作为超链接交付。

GootLoader

概述：GootLoader是历史上与GootKit恶意软件相关的恶意软件加载程序。随着其开发人员更新其功能，GootLoader已从下载恶意负载的加载程序演变为多负载恶意软件平台。

作为加载程序恶意软件，GootLoader通常是系统入侵的第一阶段。通过利用搜索引擎投毒传播，攻击者通过搜索引擎优化或购买搜索引擎广告，使恶意 站的排名靠前。

活动时间：至少2020年

恶意软件类型：加载程序

传递方式：可在搜索引擎结果排名靠前的受感染 站上下载恶意文件

安全建议：

参考链接：
https://www.cisa.gov/uscert/ncas/alerts/aa22-216a