VirusTotal发现恶意软件攻击中常用的伪装软件

发表于:2022-8-05 09:08

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:FullHouse杂货铺    来源:今日头条

分享:
  攻击者越来越多地模仿 Skype、Adobe Reader 和 VLC Player 等应用程序来滥用用户的信任来增加社会工程攻击成功的可能性。
  VirusTotal 的一项分析显示,其他大多数通过图标模拟的合法应用程序包括 7-Zip、TeamViewer、CCleaner、Microsoft Edge、Steam、Zoom 和 WhatsApp。
  VirusTotal在周二的一份报告中说:“我们见过的最简单的社会工程技巧之一就是让恶意软件样本看起来是合法的程序。这些程序的图标是用来说服受害者这些程序是合法的一个关键作用。”
  毫不奇怪,攻击者采用各种方法通过诱使不知情的用户下载和运行看似无害的可执行文件来破坏客户端。
  反过来,这主要是利用真正的域来绕过基于 IP 的防火墙防御来实现的。一些最常被滥用的域名是 discordapp[.]com、squarespace[.]com、amazonaws[.]com、mediafire[.]com 和 qq[.]com。
  总共检测到不少于 250 万个从属于 Alexa 前 1000 个网站的 101 个域下载的可疑文件。
  Discord 的滥用已得到充分证明,该平台的内容交付网络 (CDN) 成为与 Telegram 一起托管恶意软件的沃土,同时还为“攻击者提供了完美的通信中心”。
  另一种经常使用的技术是使用从其他软件制造商那里窃取的有效证书对恶意软件进行签名的做法。该恶意软件扫描服务表示,自 2021 年 1 月以来,它发现了超过一百万个恶意样本,其中 87% 的恶意样本在首次上传到其数据库时具有合法签名。
  VirusTotal 表示,自 2020 年 1 月以来,它还发现了 1,816 个样本,这些样本通过将恶意软件打包在其他流行软件(如 Google Chrome、Malwarebytes、Zoom、Brave、Mozilla Firefox 和 Proton VPN)的安装程序中,伪装成合法软件。
  当攻击者设法闯入合法软件的更新服务器或未经授权访问源代码时,这种分发方法也可能导致供应链,从而有可能以木马二进制文件的形式潜入恶意软件。
  或者,合法的安装程序与带有恶意软件的文件一起打包在压缩文件中,在一种情况下,包括合法的 Proton VPN 安装程序和安装 Jigsaw 勒索软件的恶意软件。
  那不是全部。第三种方法虽然更复杂,但需要将合法安装程序作为可移植可执行资源合并到恶意样本中,以便在运行恶意软件时也执行安装程序,从而产生软件按预期工作的错觉。
  研究人员说:“当把这些技术作为一个整体考虑时,可以得出结论,攻击者在短期和中期滥用(如被盗证书)既有机会主义因素,也有惯常的(最有可能的)自动化过程,攻击者的目标是以不同的方式直观地复制应用程序。”
  本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
51Testing“十佳作者”计划,投稿不只有稿费!

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计

法律顾问:上海漕溪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2022
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号