VirusTotal 揭示了黑客最常利用的应用程序来传播恶意软件
根据VirusTotal的最新研究结果,网络犯罪分子和威胁行为者越来越依赖模仿版的真实常用应用程序,如 Adobe Reader、Skype 和 VLC Player 来成功进行社会工程攻击。
调查结果详情
在他们对恶意软件的研究中,谷歌 VirusTotal 的研究人员透露,网络犯罪分子部署了许多方法来滥用用户对许多知名应用程序的信任。
最普遍的策略是模仿合法的应用程序来传播恶意软件。在这种技术中,应用程序的图标被复制以获得受害者的信任并说服他们使用被模仿的应用程序。这种恶意新策略背后的目的是绕过安全解决方案,例如设备上的 IP 或基于域的防火墙,并通过受信任的域传播恶意软件。
另一种常用的攻击策略是从合法软件供应商那里窃取真实的签名证书,并使用它们来签署恶意软件。据报道,自 2021 年以来,已有超过 100 万份签名样本被宣布为可疑样本。
首次上传到 VirusTotal 时,Google 团队检查的样本中约有 13% 没有有效签名,其中超过 99% 是 DLL 或 Windows Portable Executable 文件。
发生这种情况是因为 VirusTotal 安全工程师 Vicente Diaz 表示,恶意软件可能会滥用检查签名文件有效性的过程。当攻击者开始窃取合法证书并创建理想的供应链攻击场景时,这变得令人担忧。
第三种技术是将合法安装程序作为可移植可执行资源合并到恶意样本中,以便在恶意软件运行时执行安装程序。
从顶级域下载超过 200 万个可疑文件
根据 VirusTotal 的博客文章,前 1000 个Alexa 域中有 10% 分发了可疑样本,包括通常用于分发文件的域,并且从这些域下载了超过 200 万个可疑文件。
迪亚兹解释说,尽管这项技术很简单,但它可以有效地避免给受害者带来危险信号。这就是为什么许多渠道作为有效的恶意软件传播媒介而变得流行的原因。这包括破解软件的分发。
被滥用最多的网站和应用程序
排名前三的模仿应用程序包括:
- Adobe 杂技演员
- VLC 媒体播放器
- Skype VoIP 平台
当研究人员使用网络图标相似性检查 URL 时,WhatsApp、Instagram、Facebook 和 iCloud 是四个最常被滥用的网站。
“Adobe Acrobat、Skype 和 7zip 非常受欢迎,并且感染率最高,这可能使它们成为从社会工程角度来看需要注意的三大应用程序和图标。”
病毒总数
此外,VirusTotal 自 2020 年 1 月以来通过将恶意软件隐藏在 Zoom、Google Chrome、Proton VPN、Brave 和 Mozilla Firefox 等流行软件的安装程序中,发现了 1,816 个伪装合法软件的样本。
其他按图标模拟的应用程序包括 TeamViewer、7-Zip、CCleaner、Steam、Microsoft Edge、Zoom 和 WhatsApp。被滥用的域名包括 discordappcom、squarespacecom、amazonawscom、mediafirecom 和 qqcom。
迪亚兹说,攻击者使用这些软件和应用程序的原因尚不清楚,但原因之一可能是它们的受欢迎程度。