VirusTotal 揭示了黑客最常利用的应用程序来传播恶意软件

VSole2022-08-04 00:00:00

根据VirusTotal的最新研究结果,网络犯罪分子和威胁行为者越来越依赖模仿版的真实常用应用程序,如 Adob​​e Reader、Skype 和 VLC Player 来成功进行社会工程攻击。

调查结果详情

在他们对恶意软件的研究中,谷歌 VirusTotal 的研究人员透露,网络犯罪分子部署了许多方法来滥用用户对许多知名应用程序的信任。

最普遍的策略是模仿合法的应用程序来传播恶意软件。在这种技术中,应用程序的图标被复制以获得受害者的信任并说服他们使用被模仿的应用程序。这种恶意新策略背后的目的是绕过安全解决方案,例如设备上的 IP 或基于域的防火墙,并通过受信任的域传播恶意软件。

另一种常用的攻击策略是从合法软件供应商那里窃取真实的签名证书,并使用它们来签署恶意软件。据报道,自 2021 年以来,已有超过 100 万份签名样本被宣布为可疑样本。

首次上传到 VirusTotal 时,Google 团队检查的样本中约有 13% 没有有效签名,其中超过 99% 是 DLL 或 Windows Portable Executable 文件。

发生这种情况是因为 VirusTotal 安全工程师 Vicente Diaz 表示,恶意软件可能会滥用检查签名文件有效性的过程。当攻击者开始窃取合法证书并创建理想的供应链攻击场景时,这变得令人担忧。

第三种技术是将合法安装程序作为可移植可执行资源合并到恶意样本中,以便在恶意软件运行时执行安装程序。

从顶级域下载超过 200 万个可疑文件

根据 VirusTotal 的博客文章前 1000 个Alexa 域中有 10% 分发了可疑样本,包括通常用于分发文件的域,并且从这些域下载了超过 200 万个可疑文件。

迪亚兹解释说,尽管这项技术很简单,但它可以有效地避免给受害者带来危险信号。这就是为什么许多渠道作为有效的恶意软件传播媒介而变得流行的原因。这包括破解软件的分发。

被滥用最多的网站和应用程序

排名前三的模仿应用程序包括:

  • Adobe 杂技演员
  • VLC 媒体播放器
  • Skype VoIP 平台

当研究人员使用网络图标相似性检查 URL 时,WhatsApp、Instagram、Facebook 和 iCloud 是四个最常被滥用的网站。

“Adobe Acrobat、Skype 和 7zip 非常受欢迎,并且感染率最高,这可能使它们成为从社会工程角度来看需要注意的三大应用程序和图标。”
病毒总数

此外,VirusTotal 自 2020 年 1 月以来通过将恶意软件隐藏在 Zoom、Google Chrome、Proton VPN、Brave 和 Mozilla Firefox 等流行软件的安装程序中,发现了 1,816 个伪装合法软件的样本。

其他按图标模拟的应用程序包括 TeamViewer、7-Zip、CCleaner、Steam、Microsoft Edge、Zoom 和 WhatsApp。被滥用的域名包括 discordappcom、squarespacecom、amazonawscom、mediafirecom 和 qqcom。 

迪亚兹说,攻击者使用这些软件和应用程序的原因尚不清楚,但原因之一可能是它们的受欢迎程度。

软件黑客
本作品采用《CC 协议》,转载必须注明作者和本文链接
到目前为止,已经确定了六个不同的恶意软件变种。使用 AuKill 的威胁分子在攻击期间充分利用了现有的特权,他们通过其他手段获得了这些特权。2022 年 11 月,Sophos 也详细披露了 LockBit 加盟组织使用一种名为 Backstab 的开源工具,该工具滥用这个驱动程序的过时版本来终止受保护的反恶意软件进程。
暴露在互联网上的未修补的 Citrix NetScaler 系统正被未知威胁行为者作为目标,这被怀疑是勒索软件攻击。
近日,VMware (VMW.N) ESXi 服务器的全球勒索软件黑客攻击已将数千台计算机服务器作为目标。
近三个月前,WannaCry勒索软件关闭了世界各地的医院、电信提供商和许多企业,感染了150多个国家的数十万台计算机,对文件进行加密,然后向受害者收取300至600美元的密钥费用。根据追踪WannaCry赎金支付的Twitter机器人,只有338名受害者支付了300美元的比特币,总计14万美元。虽然大多数受影响的组织现已恢复正常,但世界各地的执法机构仍在追捕中。
澳大利亚内政部长 Clare O’Neil 表示政府考虑将向勒索软件黑客支付赎金列为非法行为。澳大利亚最大健康保险公司 Medibank 上个月遭到了勒索软件的攻击,攻击者窃取了近千万用户赎金,并按照每位用户数据一美元的价格勒索千万美元。
邮政警察正在调查有关意大利税务机构 l'Agenzia delle Entrate 成为网络攻击的受害者的报道,其中大约78千兆数据被盗。勒索软件黑客盯上意大利税务机关 意大利安莎社报道,据报道,这次攻击是由国际勒索软件黑客组织 LockBit 发起的。IT 安全公司 Swascan 表示,LockBit 在暗网上宣布,它已给内陆税收机构五天的时间支付赎金或查看被盗文件的公布。
2021年7月28日,国际网络安全媒体ThreatPost发布报告称,新出现的勒索软件黑客组织“Haron”和“BlackMatter”疑似与黑客组织“Avaddon”、“DarkSide”和“REvil”存在联系。
莫斯科最近开通了第一个缆车服务,在运行的几天后,缆车系统被黑客入侵,系统的主计算机感染了勒索软件黑客发送消息要求用比特币支付赎金,以解密缆车运营所需的所有电子文件,赎金的数额取决于对支付的反应速度。目前该缆车服务已关闭。
医疗行业网络安全建设长期面临挑战
VSole
网络安全专家