攻击者越来越多地模仿 Skype、Adobe Reader 和 VLC Player 等应用程序来滥用用户的信任来增加社会工程攻击成功的可能性。
VirusTotal 的一项分析显示,其他大多数通过图标模拟的合法应用程序包括 7-Zip、TeamViewer、CCleaner、Microsoft Edge、Steam、Zoom 和 WhatsApp。
VirusTotal在周二的一份报告中说:“我们见过的最简单的社会工程技巧之一就是让恶意软件样本看起来是合法的程序。这些程序的图标是用来说服受害者这些程序是合法的一个关键作用。”
毫不奇怪,攻击者采用各种方法通过诱使不知情的用户下载和运行看似无害的可执行文件来破坏客户端。
反过来,这主要是利用真正的域来绕过基于 IP 的防火墙防御来实现的。一些最常被滥用的域名是 discordapp[.]com、squarespace[.]com、amazonaws[.]com、mediafire[.]com 和 qq[.]com。
总共检测到不少于 250 万个从属于 Alexa 前 1000 个网站的 101 个域下载的可疑文件。
Discord 的滥用已得到充分证明,该平台的内容交付网络 (CDN) 成为与 Telegram 一起托管恶意软件的沃土,同时还为“攻击者提供了完美的通信中心”。
另一种经常使用的技术是使用从其他软件制造商那里窃取的有效证书对恶意软件进行签名的做法。该恶意软件扫描服务表示,自 2021 年 1 月以来,它发现了超过一百万个恶意样本,其中 87% 的恶意样本在首次上传到其数据库时具有合法签名。
VirusTotal 表示,自 2020 年 1 月以来,它还发现了 1,816 个样本,这些样本通过将恶意软件打包在其他流行软件(如 Google Chrome、Malwarebytes、Zoom、Brave、Mozilla Firefox 和 Proton VPN)的安装程序中,伪装成合法软件。
当攻击者设法闯入合法软件的更新服务器或未经授权访问源代码时,这种分发方法也可能导致供应链,从而有可能以木马二进制文件的形式潜入恶意软件。
或者,合法的安装程序与带有恶意软件的文件一起打包在压缩文件中,在一种情况下,包括合法的 Proton VPN 安装程序和安装 Jigsaw 勒索软件的恶意软件。
那不是全部。第三种方法虽然更复杂,但需要将合法安装程序作为可移植可执行资源合并到恶意样本中,以便在运行恶意软件时也执行安装程序,从而产生软件按预期工作的错觉。
研究人员说:“当把这些技术作为一个整体考虑时,可以得出结论,攻击者在短期和中期滥用(如被盗证书)既有机会主义因素,也有惯常的(最有可能的)自动化过程,攻击者的目标是以不同的方式直观地复制应用程序。”
