迈克菲实验室 (McAfee Labs) 今日发布《2013 年第四季度威胁报告》。报告显示，“黑暗网络”(dark web) 恶意软件行业在2013年秋季嚣张的“销售点(POS)攻击和数据泄露事件中起了重要作用；在线购买 POS 恶意软件、在线出售窃取的信用卡号和其他个人数据变得越来越简便。迈克菲实验室还发现，带数字签名的恶意软件样本数量在 2013 年增长了两倍，这主要是由于滥用自动内容分发网络(CDN)所致，这些网络可将恶意二进制代码隐藏在带数字签名、看似合法的安装程序中。迈克菲实验室认为，这一加速趋势会对验证“安全”软件所惯用的证书授权(CA)模式构成重大威胁。

针对第四季度发生的一些“高规格”信用卡数据泄露事件所进行的详细研究表明，攻击所使用的POS恶意软件相对简单，可能是购自“网络犯罪即服务”(Cybercrime-as-a-Service) 社区的“现成技术”，也可能是专为这些攻击定制的。通过对地下“黑暗网络”市场的持续监控，迈克菲实验室进一步发现了一些试图销售在第四季度零售业数据泄露事件中失窃的信用卡号和个人信息的行为。研究人员发现，对于已报失窃的4000万个信用卡号，不法分子正在将其中一些卡号以每次100万至400万个批量进行销售。

迈克菲实验室高级副总裁 Vincent Weafer 指出：“2013年第四季度让人印象深刻，因为有太多的人前所未有地体验到了网络犯罪的‘真实’存在。当多数人还专心于假日购物时，当厂商们想让人们安心无忧购物时，网络盗窃悄然发生了。这些网络攻击与人们的工作和生活息息相关。在安全从业者看来，此类犯罪活动有‘现成’的来源、攻击规模大、可通过销售窃取的客户数据轻松牟利……所有这些都预示着‘网络犯罪即服务’和‘黑暗网络’时代的来临。”

截至2013年底，迈克菲实验室数据库中的恶意签名二进制代码样本增长了两倍，达到800多万个。仅在第四季度，迈克菲实验室就发现了230多万个新的恶意签名应用程序，环比增长52%。对软件进行代码签名意在验证创建代码的开发人员的身份，并确保自其发放数字证书后代码未被篡改。

虽然带签名的恶意软件样本总数包括证书被窃、被购买或被滥用的情况，但绝大多部分增长是由于不可靠的CDN所致。CDN特指一些网站和公司，他们允许开发人员上传其程序或链接到外部应用程序的URL，并将其隐藏在带签名的安装程序中。

迈克菲实验室团队警告称，日益增长的恶意签名文件会在用户和管理员之间造成混乱，甚至会让人们怀疑代码签名CA模式继续的可行性。

Weafer 表示：“尽管CA和CDN行业的扩张显著降低了开发人员开发和发行软件的成本，但同时验证发布者身份的标准也大大降低。我们需要学会更信任对文件进行签名的厂商的信誉，而不要轻信证书。”

2013年第四季度的更多研究成果

• 移动恶意软件。迈克菲实验室2013年采集了247万个新移动样本，仅第四季度就发现了744000 个。与2012年末相比，我们移动恶意软件 “动物园”里的样本数量惊人地增长了197%。
• 勒索软件。2013年，新勒索软件样本量增长100万个，第四季度同比增长了一倍。
• 可疑URL。2013年，迈克菲实验室记录的可疑 URL 数量增长 70%。
• 恶意软件激增。2013年，迈克菲实验室每分钟发现200个新恶意软件样本，也就是说，每秒发现3个以上新威胁。
• 与主引导记录相关。 迈克菲实验室在2013年发现了220万个新“主引导记录”(MBR) 攻击。