網路安全方案供應商 Check Point 研究人員 2020 年 6 月《頭號通緝惡意軟體》(Most Wanted Malware)報告,分析針對組織的最常見網路威脅,結果發現過去一個月透過 Phorpiex 殭屍網路(Botnet)發動的攻擊有大量增加的狀況。
散播內含惡意 Zip 附件檔的垃圾郵件,郵件主旨有個眨眼表情符號
Phorpiex 以分發大量惡意軟體和包括大規模性愛勒索郵件(Sextortion Email)等垃圾郵件活動聞名,但與 5 月相比,6 月被偵測發現的次數有顯著增加的趨勢。由於 Phorpiex 偵測數量攀升達如此程度,以至於成為 6 月偵測第二多的惡意軟體活動,5 月排名只有 13 名。由於試圖攻擊的次數如此多,以至於有 2% 組織被殭屍網路鎖定為目標。
這個殭屍網路發出許多嘗試向受害者傳送惡意負載的垃圾郵件。過去一個月,已用來發動新型「Avaddon」勒索軟體活動。這是一個 6 月才出現的特定勒索軟體家族,Phorpeix 試圖引誘受害者打開一封釣魚郵件的 Zip 附件檔,郵件主旨是一個眨眼表情符號。這聽起來像是基本形式的網路攻擊,但如果使用者不點附件檔,犯罪分子便無下手之處。
在此之前,Phorpiex(也稱為 Trik)就用來發動可散播其他形式勒索軟體(包括 GandCrab 和 Pony)的垃圾郵件攻擊活動,同時用來在受感染機器進行加密貨幣的挖礦作業。Check Point 研究人員在一則部落格貼文中警告指出:「組織應該教育員工如何辨識會夾帶這些威脅的垃圾郵件類型,例如以內含眨眼表情符號之惡意郵件來鎖定使用者的最新攻擊活動,並確保他們部署能主動防止他們感染自己網路的安全機制。」
另外要注意會偷光資訊的 Agent Tesla,以及將使用者電腦當作挖礦機的 XMRig
儘管 Porpiex 攻擊大幅增加,但 6 月最活躍的惡意軟體是一種先進的遠端存取木馬 Agent Tesla,Check Point 並發現有 3% 組織被鎖定。Agent Tesla 是資訊竊取軟體和擊鍵記錄程式,讓攻擊者看光光受感染電腦的所有內容,包括使用者名稱、密碼、瀏覽器歷史紀錄、系統資訊等,換言之,入侵網路所需的一切資訊都能竊取。
此外,6 月發現的第三大惡意軟體是 XMRig,是開放原始碼惡意加密貨幣挖擴軟體,利用受感染機器的 CPU 效能產生虛擬門羅幣(Monero)。此惡意軟體打從 2017 年 5 月以來一直很活躍。
除了上述惡意軟體,今年 6 月十大通緝惡意軟體名單,還有包括 Dridex、Trickbot、Ramnit 和 Emotet 等大家都耳熟能詳的名字,都是長期網路犯罪活動的主要工具,不是用來竊取資訊,就是當作更具破壞性活動的墊腳石。例如 Trickbot 和 Emotet 就常用作規模勒索軟體攻擊的第一階段工具。
(首圖來源:Flickr/Blogtrepreneur CC BY 2.0)
