网络威胁情报商Blueliv在最近发布了一份基于近三个月的全球网络凭证窃取情况的分析报告,其主要内容如下。
针对各大洲窃取的态势分析
Blueliv的定期分析显示,与3月——5月期间相比,6月至8月期间,来自北美的受损凭证增加了141%。而同期欧洲和亚洲的凭证窃取数量分别减少了22%和36%。
尽管欧洲和亚洲地区的凭证被盗数量在过去3个月总体呈下降趋势,但每月的详细数据则反映了一些区域性特色现象。例如,从欧洲和俄罗斯检测到的地理定位证书数量急剧下降(33%),而同期亚洲国家的数量则大幅上升(上升77%)。据此,Blueliv观察到的影响因素是欧洲的一个大规模僵尸网络遭到摧毁,同期亚洲部分国家的政治竞选活动正在如火如荼地进行。
相应恶意软件的发展趋势
网络犯罪分子会使用各种方法窃取凭证,具体选择由他们自身的技能和工具资源所决定。窃取凭证最简单的方式之一便是使用网络钓鱼作为攻击媒介,它仅需少量技巧制作社交工程电子邮件,网络钓鱼站点也可以利用模板创建。
截至6月的恶意软件数据
相比之下,使用恶意软件攻击效率更高,因为多数人的电脑设备上都会存有大量凭证。不过调用恶意软件需要的技能和工具资源也更多。
Blueliv认为,目前从效率、内存、速度多个维度综合比较,恶意软件感染是窃取凭证的主要方式。当然,恶意软件的完成水平与任务的达成率也成正比,不过也可以退而求其次,利用购买相对便宜的工具包或者泄露数据库源代码实现目标。
Pony是时下最流行的恶意软件:因为它能够通过大量电子邮件,即时消息和FTP应用程序以及VPN和SSH软件窃取凭证。它还可以对用户帐户实施暴力攻击,使用逆向工程技术来解密以加密格式存储的密码。Blueliv的数据分析显示,Pony僵尸网络平均窃取了8,000个凭据,但根据二进制分布,它窃取量可能高达百万。
然而有意思的是,Blueliv的最新分析显示,LokiPWS(又名Lokibot)恶意软件家族分布的增速快于Pony。早在5月份,Pony和LokiPWS均在最活跃的恶意软件之列,而且Pony的数量领先于其他恶意软件。当时,LokiPWS恶意软件数量在过去的12个月中增长超过300%。现在,LokiPWS的样本量几乎翻了一番,比上一季度增加了91%,并且正在缩小与Pony的数量差距。
LokiPWS是一种混合型移动恶意软件,具有银行木马和信息窃取器的特征,在暗网上的售价在200美元到300美元之间。除了众所周知的所有银行家都有的覆盖攻击之外,它还能窃取受害者的联系方式、读取和发送短信、窃取浏览器历史记录、启动移动银行应用程序,甚至阻止用户访问手机,导致手机无法被用以查询数据。
但在Blueliv看来,尽管近年来不同版本的LokiPWS的源代码泄露可能使其使用率增加,但这并不意味着人们可以忽略Pony、Emotet、KeyBase和AZORult等类似的软件,这些软件在全球范围内发挥的“作用仍然非常有效。
声明:本文来自黑客视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
