2020年5月头号恶意软件：Ursnif银行木马首次登上十大恶意软件排行榜，组织影响范围翻了一番

Check Point研究人员发现，可窃取电子邮件和银行凭证的老牌Ursnif银行木马的攻击利用率激增

2020年6月16日–全球领先的网络安全解决方案提供商Check Point®软件技术有限公司（纳斯达克股票代码：CHKP）的威胁情报部门Check Point Research发布了其2020年5月最新版《全球威胁指数》报告。研究人员发现，多起恶意垃圾邮件攻击活动正在传播Ursnif银行木马，使其从恶意软件排行榜第19位跃升至第5位，全球组织影响范围翻了一番。

Ursnif银行木马主要瞄准Windows电脑，能够窃取重要的财务信息、电子邮件凭证及其他敏感数据。该恶意软件通过Word或Excel附件在恶意垃圾邮件攻击活动中进行传播。新一波Ursnif木马攻击使这一恶意软件首次跻身“主要恶意软件”指数榜单前十名。而与此同时，其常见变种之一Dreambot被报消亡。Dreambot于2014年首次被发现，主要基于Ursnif泄露的源代码。据报道，自2020年3月以来，Dreambot的后端服务器已关闭，自此再未发现新的Dreambot样本。

同时，于3月首次跻身十大恶意软件排行榜的知名银行木马Dridex在整个5月继续肆虐，连续第二个月位居榜首。5月，最猖獗的移动恶意软件家族也发生了大变动。通过点击移动广告来诈骗钱财的Android恶意软件主导了榜单，这表明犯罪分子正尝试通过攻击移动设备牟利。Check Point产品威胁情报与研究总监Maya Horowitz表示：“5月，Dridex、Agent Tesla和Ursnif银行木马均位列恶意软件排行榜前五位，这充分表明网络犯罪分子正致力于使用恶意软件窃取受害者的重要数据和凭证，以从中牟利。尽管COVID-19相关攻击率有所下降，但与3月和4月相比，5月整体网络攻击率增加了16%，因此组织必须借助某些工具和技术来保持警戒，尤其是在大规模转向远程办公模式的情况下，以防攻击者乘虚而入。”

头号恶意软件家族

*箭头表示与上月相比的排名变化。

本月，Dridex仍然位居榜首，全球4%的组织受到波及，其次是Agent Tesla和XMRig，两者均影响了全球3%的组织。

1.↔Dridex–Dridex是一种针对Windows平台的木马，据说通过垃圾邮件附件进行下载。Dridex不仅能够联系远程服务器并发送有关受感染系统的信息，而且还可以下载并执行从远程服务器接收的任意模块。

2.↑Agent Tesla–Agent Tesla是一种用作键盘记录器和信息窃取程序的高级RAT，能够监控和收集受害者的键盘输入与系统剪贴板、截图并盗取受害者电脑上安装的各种软件（包括Google Chrome、Mozilla Firefox和Microsoft Outlook电子邮件客户端）的凭证。

3.↓XMRig - XMRig是一种开源CPU挖矿软件，用于门罗币加密货币的挖掘，2017年5月首次现身。

最常被利用的漏洞

本月，“MVPower DVR远程执行代码”仍是位居第一的最常被利用的漏洞，全球45%的组织因此遭殃。“OpenSSL TLS DTLS心跳信息泄露”是第二大最常被利用的漏洞，紧随其后的是“Web Server Exposed Git存储库信息泄露”，分别影响了全球40%和39%的组织。

1. MVPower DVR远程执行代码-一种存在于MVPower DVR设备中的远程代码执行漏洞。远程攻击者可利用此漏洞，通过精心设计的请求在受感染的路由器中执行任意代码。

2.↑OpenSSL TLS DTLS心跳信息泄露（CVE-2014-0160；CVE-2014-0346）-一种存在于OpenSSL中的信息泄露漏洞。该漏洞是因处理TLS/DTLS心跳包时发生错误所致。攻击者可利用该漏洞泄露联网客户端或服务器的内存内容。

3.↑Web Server Exposed Git存储库信息泄露- Git存储库报告的一个信息泄露漏洞。攻击者一旦成功利用该漏洞，便会使用户在无意间造成帐户信息泄露。

头号恶意软件家族-移动恶意软件

本月，恶意软件家族前三位都发生了更迭，PreAmo位列最猖獗的移动恶意软件榜首，其次是Necro和Hiddad。

1. PreAmo - PreAmo是一种Android恶意软件，通过点击从三家广告代理（Presage、Admob和Mopub）检索到的横幅来模拟用户。

2. Necro - Necro是一种木马植入程序，可下载其他恶意软件、显示侵入性广告，并通过收取付费订阅费用骗取钱财。

3. Hiddad - Hiddad是一种Android恶意软件，能够对合法应用进行重新打包，然后将其发布到第三方商店。其主要功能是展示广告，但它也可以访问操作系统内置的关键安全细节。

Check Point《全球威胁影响指数》及其《ThreatCloud路线图》基于Check Point ThreatCloud情报数据撰写而成，ThreatCloud是打击网络犯罪的最大协作网络，可通过全球威胁传感器网络提供威胁数据和攻击趋势。ThreatCloud数据库每天检查超过25亿个网站和5亿份文件，每天识别超过2.5亿起恶意软件攻击活动。

如欲查看5月份十大恶意软件家族的完整列表，请访问Check Point博客。