根据Proofpoint的说法，由不断演变的Emotet领导的银行特洛伊木马在2018年第四季度主导了电子邮件传播的威胁形势。

虽然研究人员一直在关注APT活动和恶意软件，但事实证明旧的银行特洛伊木马仍然是电子邮件所带来的最大威胁。

根据Proofpoint最新的季度报告，基于其2018年第四季度的遥测分析，去年年底窃取网上银行凭证的银行恶意软件占所有恶意有效载荷的56％。

Proofpoint发现Emotet占其中的76％—-尽管严格来说，Emotet已经不仅仅是一种银行木马了。

“尽管在野出现了一系列新的银行木马，但攻击者继续将一些旧的银行木马的功能合并，”报告强调说。“总的来说，Emotet、Panda Banker和Ursnif是第四季度中出现频率最高的银行木马（97%）。10月的大部分时间里，Emotet流量比第四季度出现的其他银行木马流量更加稳定且出现频率更高，但却没有造成巨大的影响；利用Emotet进行攻击的黑客在4月相对低调。然而除了这两个时期之外，Emotet在整个2018年的出现频率和数量都在逐月递增。”

 

 

总的来说，带有凭据窃取器或下载器的恶意信息同比增长超过230％—-这也说明了被盗凭证在暗网上的价值。

至于其他恶意软件，间谍类远程访问木马仅占第四季度所有恶意有效载荷的8.4％，占全年的5.2％。然而，该报告表示这标志着与前几年相比黑客不再倾向于使用这类木马。远程访问木马在受害者的机器上建立后门，用于侦察、窃取数据、凭证以及加载其他恶意软件等。APT505 在本季度特别活跃的使用远程访问木马。

 

而且，勒索软件在第四季度仅占恶意邮件量的1％的十分之一。

报告解释说：“在2016年和2017年的大部分时间里，勒索软件主导了威胁形势，但在2018年第一季度几乎没有出现勒索软件。在第二季度，研究人员观察到勒索软件开始死灰复燃，尽管比2017年发现的勒索软件少得多。然而，该尖峰似乎仅是一次试水，因为在第三季度发现的勒索软件与第二季度相比下降了10个百分点。这表明勒索软件活动没有给攻击者带来足够的回报，所以攻击者无法大规模分发勒索软件。在第四季度勒索软件甚至进一步下降到仅占整体恶意邮件量的1％的十分之一。”

在第四季度仅有三个勒索软件出现，并且仅出现在影响范围相对较小的电子邮件活动中，它们分别是：GandCrab、GlobeImposter和Troldesh。

 

 

 

而且与以往不同的是，恶意软件是通过嵌入在电子邮件正文中的恶意链接分发的，而不是附件。

报告称，“在整个第四季度发送恶意软件的电子邮件活动中，恶意URL数量仍旧超过了恶意附件数量。在此期间，Proofpoint观察到的恶意URL数量是恶意附件数量的两倍，但与2018年一整年相比有所下降。在整个2018年中，恶意URL的出现频率是恶意附件的三倍，这表明攻击者可能倾向于周期性地转向使用恶意附件。”

 

 

在非恶意软件电子邮件攻击方面，企业电子邮件泄密（BEC）大幅飙升，继续不可阻挡的速度增长；有针对性的电子邮件欺诈攻击数量与上一季度相比增加了226％，与两年前相比增加了476％。平均而言，BEC所针对的公司在今年第四季度大约收到了120封欺诈性电子邮件，高于2018年第三季度的36封以及去年同期的21封。（Gump）