DoctorWeb：2023年病毒活动年度报告

2023年，使用AutoIt脚本语言编写的应用Trojan.AutoIt再次成为最活跃的威胁之一。因为是嵌入其他恶意应用程序进行传播，增加侦测难度。广告木马Trojan.BPlug和各种恶意脚本也非常活跃。电子邮件流量中最常见的是恶意脚本和网络钓鱼文档。此外，攻击者还大肆传播利用MicrosoftOffice文档漏洞的恶意软件。通过电子邮件传播的威胁还有各种木马应用。

与上一年相比，2023年用户申请文件解密的数量有所减少。与此同时，银行木马程序的侦测量也有所减少。

过去的一年发生了一系列不同寻常的信息安全事件。春季我公司技术人员记录到一次感染AndroidTV智能电视和机顶盒的安卓木马进攻。夏季我公司病毒分析师侦测到一种用于窃取加密货币的木马。这个木马隐藏在一些盗版的Windows10版本中，感染计算机后会感染系统的EFI分区。秋天我们报告了间谍木马应用对伊朗安卓用户的攻击，窃取受害者的个人数据和钱财。此外，我们公司还就Openfire消息服务器出现恶意插件发出警告，这些恶意插件利用了Openfire软件中的一个漏洞，可执行攻击者的各种命令。

在移动威胁中，最常见的是广告木马、恶意间谍软件和不良广告软件。GooglePlay目录中发现了许多新的恶意应用，总安装量接近5亿。我们的专家还侦测到再次出现的窃取的木马，不仅针对安卓操作系统用户，也针对iOS设备的所有者。

我公司互联网分析师在过去一年持续记录到网络钓鱼资源。诈骗使用的多是银行、网店、石油和天然气公司的虚假网站。

2023年最值得关注的事件

2023年5月，DoctorWeb发布对木马模块Android.Spy.SpinOk的分析报告，此木马模块是作为营销工具提供给安卓游戏和程序的开发者，但同时具有间谍功能，能够收集设备存储文件的相关信息并将其传输给攻击者，还能够替换剪贴板的内容并将其上传到远程服务器。此外，这种木马模块还可以显示广告。我们的病毒分析师在GooglePlay下载量超过4.21亿次的一百多个应用程序中发现了该模块的存在。此分析报告发布后，SpinOk开发人员就该模块归类为恶意的原因联系了我公司，随后模块更新至2.4.2版本，删除了木马功能。

6月，我们的专家发现了恶意应用Trojan.Clipper.231，功能是窃取加密货币，内置于许多盗版的Windows10中，感染计算机时会渗透到系统EFI分区，将剪贴板中的加密钱包地址替换为诈骗者指定的地址。在被侦测时，攻击者已利用此木马窃取了价值约19,000美元的加密货币。

7月份我公司发现了一起针对Windows用户的攻击，使用的是模块化的木马加载程序Trojan.Fruity.1。利用加载器攻击者可以使用不同类型的恶意应用感染计算机。同时网络犯罪分子还采取多种手段来增加攻击成功机率。例如，将Trojan.Fruity.1嵌入受欢迎程序安装程序，通过恶意网站进行传播，由于木马具有的模块化架构，感染目标系统的过程为多级感染。此外，启动Trojan.Fruity.1组件使用的是正常的应用程序，在感染系统时木马还会尝试绕过反病毒保护。

9月初，我们公司发布了对Android.Pandora.2后门的研究报告，该后门主要攻击的是西班牙语用户。该木马的各种变种通过被破解的固件版本以及用于非法在线观看视频的木马软件来感染安卓操作系统的智能电视和机顶盒。2023年3月记录到大量涉及Android.Pandora.2的攻击事件。该木马程序的第一批变种早在2017年7月就已添加到Dr.Web病毒库。

不久后，我们通报了以伊朗安卓设备用户为主要进攻目标的Android.Spy.Lydia家族木马，这些恶意软件让攻击者能够对受感染设备进行远程访问，具有间谍软件功能，可用来窃取用户的个人信息和钱财。

9月底，我公司发布Openfire消息服务器出现恶意插件JSP.BackDoor.8，恶意插件利用的是服务器的漏洞CVE-2023-32315。黑客利用该漏洞可访问被感染服务器的文件系统并将服务器纳入僵尸网络。DoctorWeb病毒实验室专家在调查针对我公司客户基础设施的加密木马进攻时发现了这种木马插件。在用户安装有易受攻击的Openfire软件的服务器利用恶意插件实现了编码器进攻。JSP.BackDoor.8插件是用Java创建的后门，可以攻击者发送的GET和POST申请形式执行许多命令。攻击者利用插件还可以获得受感染服务器的相关信息，例如网络连接信息、IP地址、用户信息和系统内核版本。

病毒传播情况

2023年Dr.Web反病毒产品侦测统计数据的分析显示，侦测到的威胁总数较2022年增长了12.27%。新威胁数量增长21.70%。最引人注目的是作为其他恶意程序的一部分来进行传播的木马应用，这种传播方式增加了器侦测的难度。此外，用户还经常遭遇广告木马和各类恶意脚本。

Trojan.BPlug.3814

Trojan.BPlug.4087

WinSafe浏览器插件的恶意组件，是在浏览器不断显示广告的JavaScript脚本。

Trojan.AutoIt.1224

Trojan.AutoIt.1131

Trojan.AutoIt.1124

Trojan.AutoIt.1122

Trojan.AutoIt.1147

用AutoIt脚本语言编写的木马Trojan.AutoIt.289的打包版本，作为一些恶意应用，如挖矿程序、后门和自传播模块的一部分进行传播。Trojan.AutoIt.289执行各种恶意操作，使主要的有效恶意负载难以被侦测。

BAT.Hosts.187

用Windows命令解释器语言编写的恶意脚本。通过添加特定的域列表来修改hosts主机文件。

Trojan.Hosts.51189

一种修改Windows操作系统计算机主机文件内容的木马程序。

BAT.Starter.457

用Windows命令解释器语言编写的恶意脚本，在目标计算机运行各种恶意应用程序。

2023年电子邮件流量中最常见的威胁是恶意脚本和网络钓鱼文档，通常是伪造的账户信息输入域名，冒充流行网站的登录，将受害者输入的数据传输给攻击者。而利用MicrosoftOffice文档漏洞的恶意程序也再次广泛传播。

JS.Inject

用JavaScript编写的恶意脚本家族，将恶意脚本嵌入网页的HTML代码。

PDF.Phisher.458

PDF.Phisher.455

PDF.Phisher.474

PDF.Phisher.456

PDF.Phisher.486

PDF.Phisher.463

钓鱼邮件中使用的PDF文件。

Exploit.CVE-2018-0798.4

利用MicrosoftOffice软件漏洞进攻,可执行任意代码。

LNK.Starter.56

以特殊方式生成的快捷方式，通过移动驱动器传播，带有磁盘图标来误导用户。打开时会启动与快捷方式本身位于同一介质的隐藏目录中的VBS恶意脚本。

加密器

与2022年相比，2023年DoctorWeb病毒实验室收到的木马勒索软件受害用户解密申请减少了28.84%。下图显示的是解密申请数量的动态统计：

2023年最常见的勒索软件：

Trojan.Encoder.26996 (占用户申请的21.35%

该勒索软件还被称为STOPRansomware，能尝试从远程服务器获取私钥，如果失败，则使用硬编码的私钥。这是少数使用Salsa20流算法加密数据的勒索软件木马之一。

Trojan.Encoder.3953 (占用户申请的18.87%）

具有多个不同版本和变种的加密器，使用CBC模式的AES-256算法加密文件。

Trojan.Encoder.35534 (占用户申请的6.00%）

也称为Mimic。在搜索加密目标文件时，该木马会使用合法程序Everything中用于即时搜索Windows计算机文件的库everything.dll。

Trojan.Encoder.34027 (占用户申请的2.18%）

此勒索软件也称为TargetCompany或Tohnichi，使用AES-128、Curve25519和ChaCha20算法来加密文件。

Trojan.Encoder.35209 (占用户申请的2.01%）

一种名为Conti的加密器（该木马的一个变种是Trojan.Encoder.33413）。使用AES-256算法加密文件。

网络诈骗

2023 年，Doctor Web 的互联网分析师记录到大量欺诈活动，并发现了许多网络钓鱼网站。 金融行业成为犯罪分子最常利用的钓饵：大约 60% 已识别的不良互联网资源模仿的是信贷机构网站。 常见的假冒网页包括网上银行的虚假登录页面和虚假调查问卷的页面。 网络犯罪分子试图利用这些伪造页面获取用户的个人数据和访问网上银行账户的详细账户信息。

此外，攻击者还继续打着获取收入的幌子引诱潜在受害者访问诈骗网站，比如投资与大型石油和天然气公司相关的所谓服务，还有是获取某些能保证高额利润的所谓自动交易平台。 涉及“领取”国家社会福利的各种形式的诈骗也再次屡见不鲜。 此类网站的钓鱼骗局最终都是用户在回答一些简单的问题后要提供个人信息才能注册帐户，并且获取转款的前提是必须支付所谓的“手续费”。实际上受害人不会收到任何转账。

下面的屏幕截图是金融诈骗网站的示例。 第一种情况是谎称俄罗斯一家大型石油和天然气公司邀请用户访问“投资平台”。 第二个是一项投资服务，谎称与一家欧洲银行有关。 第三种是伪造的 “自动化交易系统”，名称为 Quantum UI、Quantum System 等。

与各种“促销”、“奖励”和“礼物”相关的网络钓鱼方式也再次不断出现。 诈骗者引诱潜在受害者访问网上商店、零售商、在线售票平台等虚假网站，谎称可参加抽奖、获得礼物或奖金，或者可以更优惠的价格购买特定产品。 攻击者的意图试图窃取受害者的钱财和银行卡数据。

下面的屏幕截图是此类欺诈网站的示例。

第一个是模仿俄罗斯家电电商网站外观的虚假网站：

诈骗者提供的所谓打折商品要求通过潜在受害者银行卡付款或通过网上银行转账。

下面一个欺诈网站是以网络商店的名义邀请访问者参加所谓的“抽奖”：

潜在受害者“赢得”所谓的巨额现金奖励后会被要求支付手续费。

以俄罗斯知名网店官方网站风格设计的诈骗性在线资源：

参与现金奖励的“抽奖”，用户需要先回答几个问题。 网站模拟的抽奖会让受害者获胜，但必须支付“手续费”才能“收到”所谓的奖金。

向访问者提供“免费”彩票的网络钓鱼网站：

中奖的用户必须支付“手续费”才能收到奖金。

2023年夏天，诈骗者变得更加活跃，在各种网站上提供所谓的法律服务，谎称可以重新办理丢失的证件或是购买俄罗斯、独联体国家和其他国家的证件。 此类网站的“服务”范围包括高等教育文凭、驾驶执照、各种证书、证明等。使用可疑服务的用户不仅是为不存在的服务进行付费而遭受金钱损失，同时还会泄露他们的个人数据。 此外，购买虚假文件违反法律，这可能会担负法律责任。以下是是提供可疑服务的网站截图。

谎称可以购买俄罗斯联邦公民护照的网站：

出售高等教育文凭、证书、驾驶执照和其他证件的网站：

秋季Doctor Web 互联网分析师记录到以税务机关名义发送网络钓鱼电子邮件的事件。 这些信件包含一个网站链接，称用户在这个网站可以检查工作单位是否遵守个人数据保护法，但首先需要完成一项调查，然后提供个人信息，谎称可以“获得调查结果和免费的专家建议”。 回答问题后，访问者会被要求提供电话号码和电子邮箱。

同时，去年我们的专家还提醒用户利用 Telegraph 博客平台进行诈骗的案件有所增加。 攻击者在平台发布网络钓鱼帖子，包含指向各种不良网站的链接。 而且指向欺诈内容页面的链接在分发前会先利用链接缩短服务转换。

下面的屏幕截图是此类欺诈性帖子的示例。用户被提示激活某个帐户，但单击 “CONFIRM”按钮时会被重定向到网络钓鱼站点。

移动设备威胁

根据Dr.Web for Android的侦测统计，2023年最常见的安卓恶意软件是显示不良广告的木马Android.HiddenAds，占侦测到的恶意软件的31.61%，其中最活跃的威胁是Android.HiddenAds.3697 ，在受保护设备的侦测量占比为 10.72%。 侦测量第二的是具有间谍功能的木马程序Android.Spy，为28.22%，其中，最常侦测到的木马是Android.Spy.5106（占20.80%）。 Android.MobiDash广告木马以10.06%的占比排在第三。

最活跃的不良软件是 Program.FakeMoney.7（占不良软件侦测量的 29.90%）。这种软件让用户通过完成各种任务来赚钱，但实际上并没有支付任何奖励。 排在第二的是 Program.FakeAntiVirus.1（占侦测数的 19.42%），通过模仿防病毒软件的操作，侦测不存在的威胁，目的是让用户购买所谓程序的完整版本来“解决”问题。 通过 CloudInject 云服务修改过的应用程序排在第三位，份额为 9.46%。 此类程序（Dr.Web反病毒软件将其侦测为Program.CloudInject.1）添加了危险权限和无法控制其用途的混淆代码。

与去年一样，工具Tool.SilentInstaller在侦测数量上再次在潜在危险程序中排在了第一位（占潜在危险软件侦测案例的 48.89%）。通过 这类工具可以不安装就运行 Android 应用程序，可能被被网络犯罪分子用来启动恶意软件。 排在第二的是占比 14.02% 的工具 Tool.LuckyPatcher ，功能是通过添加从互联网下载的脚本来修改 安卓应用程序。 排名第三的是受 Tool.ApkProtector 软件包保护的应用程序，份额为 10.14%。

2023 年最常见的广告软件家族是 Adware.Adpush，占有害广告软件侦测量的 35.82%。 第二个最常侦测到的家族是 Adware.MagicPush，所占份额为 9.58%。 第三位是Adware.Airpush广告模块家族，占侦测量的8.59%。

去年，我公司病毒分析师在 Google Play 目录中发现了 440 多个恶意应用程序，总下载量至少为 4.28 亿次。 在侦测到的威胁中，有超过 100 个程序内置有具备间谍软件功能的木马模块 Android.Spy.SpinOk。 此外，我们的反病毒实验室还侦测到超过300个用于各种欺诈方式的Android.FakeApp木马应用。 我们的专家还发现了木马程序 Android.Proxy.4gproxy，能够将被感染的设备变成代理服务器，将其用于暗中传输第三方流量。 侦测到的威胁中还有 Android.HiddenAds 系列广告木马、间谍软件Android.Spy.1092.origin和盗窃加密货币的Android.CoinSteal.105。为用户订阅付费服务的木马家族Android.Subscription 出现了新木马。 与此同时，为受害者订阅付费服务的木马Android.Joker和Android.Harly也再次通过Google Play进行传播。

与2022年相比，2023年安卓平台银行木马的侦测数量减少了近一半。 尽管如此，这些木马的攻击地域再次涉及了许多国家。 此外，除了已知银行木马的活动，我公司病毒分析师记录到新家族的出现，其中许多针对的是俄罗斯和伊朗用户。

同时，我们的专家多次侦测到恶意网站在传播 Android 和 iOS 设备虚假加密钱包，目的是窃取加密货币。

有关 2023 年移动设备威胁的更多信息，请参阅我们的年度报告。

趋势前瞻

2023 年广告木马应用程序的广泛传播表明，网络犯罪分子的首要任务之一仍然是非法赚取收入。 AutoIt 脚本语言中木马程序的大量使用也证实了这一点，这些木马程序常被用加入木马挖矿程序，提高其侦测难度。2024 年，病毒编写者用来以牺牲受害者利益为代价来充实自己腰包的恶意软件很将是网络犯罪主要武器。

与此同时，尽管银行木马的攻击总数有所下降，但此类恶意应用的发展并未停止，新家族的出现就是明证，这种趋势可能会持续。

网络诈骗依然会是现实的网络威胁。 随着技术的发展，攻击者在套用经过验证的欺骗方案的同时，肯定会开始越来越多地使用新的欺骗方式，包括使用AI技术的诈骗。

我们预计包括 Google Play 等官方应用程序商店在内会出现更多的移动设备威胁，而且新的恶意软件可能不仅会出现在安卓设备，还会出现在其他平台，特别是 iOS设备。

对 Openfire 软件的攻击再次表明了安装更新和保持您所使用的程序是最新版本的重要性。 到 2024 年，网络犯罪分子还可能会利用各种漏洞发起新的攻击，包括定向进攻。