checkpoint研究人员报告称，xhelper移动木马正大肆传播，不仅已经登上十大恶意软件总排行榜第8位，而且还是影响移动设备的最大威胁
近日，全球领先网络安全解决方案提供商 checkpoint 软件技术有限公司（纳斯达克股票代码：chkp）的威胁情报部门checkpointresearch发布了其2019年11月最新版《全球威胁指数》报告。研究团队表示，三年多来，移动木马首次登上恶意软件总排行榜，并在过去一个月成为最猖獗的移动威胁。
移动木马xhelper于2019年3月首次现身，是一种针对android用户的多用途木马，可下载其他恶意应用并显示恶意广告。据报道，它还是一种持久应用，即使受害者将其卸载也能够重新自我安装。在过去六个月中，该恶意软件的代码不断更新，帮助其躲避移动杀毒解决方案，并继续感染新的受害者。最终，xhelper登上了十大恶意软件总排行榜第8位。
11月头号恶意软件是emotet僵尸网络。该恶意软件从10月开始一直稳居第一。但11月，其全球影响范围为9%，低于上个月的14%。
checkpoint产品威胁情报与研究总监mayahorowitz表示：“emotet和xhelper都是通用的多用途恶意软件，可适应犯罪分子的需求，例如分发勒索软件、掀起垃圾邮件攻击活动或向用户设备分发恶意广告。这表明，犯罪分子正尝试通过多种不同的非法手段来获取不义之财，而非固守单一途径，例如2018年“风光无两”的加密货币挖矿。因此，各组织必须将新一代反恶意软件解决方案部署至其网络及员工移动设备上，以保护所有企业端点。此外，他们还应提醒员工在打开电子邮件附件、下载资源或点击链接前需要查看来源或联系人是否可靠，并说明粗心大意可能面临的风险。”
2019年11月三大恶意软件：
emotet继续霸占恶意软件排行榜榜首，全球影响范围为9%。xmrig是第二大恶意软件，影响了全球7%的组织，其次是trickbot，全球有6%的组织受其波及。
1.emotet-emotet是一种能够自我传播的高级模块化木马。emotet曾是银行木马，最近被用作其他恶意软件或恶意攻击的传播程序。它使用多种方法和规避技术来确保持久性和逃避检测。此外，它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。
2.xmrig-xmrig是一种开源cpu挖矿软件，用于门罗币加密货币的挖掘，2017年5月首次现身。
3.trickbot-trickbot是一种使用广泛的银行木马，不断添加新的功能、特性和传播向量。这让它成为一种灵活的可自定义的恶意软件，广泛用于多目的攻击活动。
11月三大移动恶意软件：
本月，xhelper（恶意软件排行榜新增恶意应用）是最猖獗的移动恶意软件，其次是guerilla和lotoor。
1.xhelper-自2019年3月以来开始肆虐的恶意android应用，用于下载其他恶意应用并显示恶意广告。该应用能够躲避用户和移动杀毒程序检测，并在用户将其卸载后重新自我安装。
2.guerrilla-一种嵌入至多个合法应用的android木马，能够下载其他恶意载荷。guerrilla可为应用开发者带来欺诈广告收入。
3.lotoor-黑客工具，能够利用android操作系统漏洞在入侵的移动设备上获得根权限。
11月最常被利用的漏洞：
本月，最常被利用的三个漏洞与上个月相同：sql注入技术仍位列榜首，影响了全球39%的组织，其次是openssltlsdtls心跳信息泄露漏洞和mvpowerdvr远程执行代码，二者分别影响了全球34%和33%的组织。
1.sql注入（多种技术）-在从客户端到应用的输入中插入sql查询注入，同时利用应用软件中的安全漏洞。
2.openssltlsdtls心跳信息泄露(cve-2014-0160;cve-2014-0346)-一种存在于openssl中的信息泄露漏洞。该漏洞是由于处理tls/dtls心跳包时发生错误造成的。攻击者可利用该漏洞泄露联网客户端或服务器的内存内容。
3.mvpowerdvr远程执行代码-一种存在于mvpowerdvr设备中的远程代码执行漏洞。远程攻击者可利用此漏洞通过精心设计的请求在受影响的路由器中执行任意代码。
checkpoint《全球威胁影响指数》及其《threatcloud路线图》基于checkpointthreatcloud情报数据撰写而成，threatcloud是打击网络犯罪的最大协作网络，可通过全球威胁传感器网络提供威胁数据和攻击趋势。threatcloud数据库拥有2.5亿多条用于发现bot的分析地址、1,100多万个恶意软件签名以及550多万个受感染网站，每天可发现数百万种恶意软件。

---