VirusTotal tiết lộ hầu hết phần mềm mạo danh trong các cuộc tấn công bằng phần mềm độc hại

Phần mềm bị tấn công bằng phần mềm độc hại

Các tác nhân đe dọa ngày càng bắt chước các ứng dụng hợp pháp như Skype, Adobe Reader và VLC Player như một phương tiện để lạm dụng các mối quan hệ tin cậy và tăng khả năng thành công của một cuộc tấn công kỹ thuật xã hội.

Các ứng dụng hợp pháp bị mạo danh nhiều nhất theo biểu tượng bao gồm 7-Zip, TeamViewer, CCleaner, Microsoft Edge, Steam, Zoom và WhatsApp, một phân tích từ đã tiết lộ.

VirusTotal cho biết trong một báo cáo hôm thứ Ba rằng: “Một trong những thủ thuật kỹ thuật xã hội đơn giản nhất mà chúng tôi từng thấy liên quan đến việc làm cho một mẫu phần mềm độc hại có vẻ như là một chương trình hợp pháp. “Biểu tượng của các chương trình này là một tính năng quan trọng được sử dụng để thuyết phục nạn nhân rằng các chương trình này là hợp pháp.”

Không có gì ngạc nhiên khi các tác nhân đe dọa sử dụng nhiều cách tiếp cận khác nhau để thỏa hiệp các điểm cuối bằng cách lừa người dùng không cố ý tải xuống và chạy các tệp thực thi dường như vô hại.

Đổi lại, điều này chủ yếu đạt được bằng cách tận dụng các chính hãng trong nỗ lực vượt qua các biện pháp bảo vệ tường lửa dựa trên IP. Một số miền bị lạm dụng hàng đầu là discordapp[.]com, squarespace[.]com, amazonaws[.]com, mediafire[.]com và qq[.]com.

Xem tiếp:   Tin tặc Trung Quốc nhắm mục tiêu vào lĩnh vực giao dịch tài chính của Đài Loan bằng cuộc tấn công chuỗi cung ứng

Tổng cộng, không dưới 2,5 triệu tệp đáng ngờ được tải xuống từ 101 tên miền thuộc 1.000 trang web hàng đầu của Alexa đã được phát hiện.

Việc lạm dụng Discord đã được ghi nhận rõ ràng, điều gì đã khiến mạng phân phối nội dung (CDN) của nền tảng trở thành mảnh đất màu mỡ để lưu trữ phần mềm độc hại cùng với Telegram, đồng thời cung cấp một “trung tâm liên lạc hoàn hảo cho những kẻ tấn công.”

Một kỹ thuật thường được sử dụng khác là thực hành ký phần mềm độc hại với các chứng chỉ hợp lệ bị đánh cắp từ các nhà sản xuất phần mềm khác. Dịch vụ quét phần mềm độc hại cho biết họ đã tìm thấy hơn một triệu mẫu mã độc kể từ tháng 1 năm 2021, trong đó 87% có chữ ký hợp pháp khi chúng được tải lên cơ sở dữ liệu lần đầu tiên.

VirusTotal cho biết họ cũng đã phát hiện ra 1.816 mẫu kể từ tháng 1 năm 2020 được giả mạo là phần mềm hợp pháp bằng cách đóng gói phần mềm độc hại trong trình cài đặt cho các phần mềm phổ biến khác như Google Chrome, Malwarebytes, Zoom, Brave, Mozilla Firefox và Proton VPN.

Phương thức phân phối như vậy cũng có thể dẫn đến chuỗi cung ứng khi những kẻ tấn công cố gắng đột nhập vào máy chủ cập nhật của phần mềm hợp pháp hoặc truy cập trái phép vào mã nguồn, khiến phần mềm độc hại có thể lén lút ở dạng mã nhị phân trojanized.

Xem tiếp:   Ransomware là gì và làm thế nào bạn có thể bảo vệ doanh nghiệp của mình khỏi nó?

Ngoài ra, các trình cài đặt hợp pháp đang được đóng gói trong các tệp nén cùng với các tệp chứa phần mềm độc hại, trong một trường hợp bao gồm trình cài đặt Proton VPN hợp pháp và phần mềm độc hại cài đặt Jigsaw.

Đó không phải là tất cả. Phương pháp thứ ba, mặc dù phức tạp hơn, đòi hỏi phải kết hợp trình cài đặt hợp pháp làm tài nguyên thực thi di động vào mẫu độc hại để trình cài đặt cũng được thực thi khi phần mềm độc hại được chạy để tạo ảo giác rằng phần mềm đang hoạt động như dự kiến.

“Khi suy nghĩ về các kỹ thuật này một cách tổng thể, người ta có thể kết luận rằng có cả hai yếu tố cơ hội để những kẻ tấn công lạm dụng (như chứng chỉ bị đánh cắp) trong ngắn hạn và trung hạn, và các quy trình tự động thường xuyên (rất có thể) nơi những kẻ tấn công nhằm mục đích sao chép một cách trực quan các ứng dụng theo nhiều cách khác nhau, “các nhà nghiên cứu cho biết.

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / tấn công mạng Hơn một …