VirusTotal 揭示了惡意軟件攻擊中的大多數模擬軟件

威脅參與者越來越多地模仿 Skype、Adobe Reader 和 VLC Player 等合法應用程序來濫用信任關系并增加成功進行社會工程攻擊的可能性。

VirusTotal 的一項分析顯示，其他大多數通過圖標模擬的合法應用程序包括 7-Zip、TeamViewer、CCleaner、Microsoft Edge、Steam、Zoom 和 WhatsApp。

VirusTotal在周二的一份報告中說： “我們見過的最簡單的社會工程技巧之一就是讓惡意軟件樣本看起來是合法程序。” “這些程序的圖標是一個關鍵特征，用來讓受害者相信這些程序是合法的。”

毫無疑問，威脅行為者采用各種方法通過誘騙不知情的用戶下載和運行看似無害的可執行文件來破壞端點。

反過來，這主要是通過利用真正的域來繞過基于 IP 的防火墻防御來實現的。一些最常被濫用的域名是 discordapp[.]com、squarespace[.]com、amazonaws[.]com、mediafire[.]com 和 qq[.]com。

總共檢測到不少于 250 萬個從屬于 Alexa 前 1000 個網站的 101 個域下載的可疑文件。

Discord 的濫用已得到充分證明，該平臺的內容交付網絡 (CDN) 成為與 Telegram 一起托管惡意軟件的沃土，同時還為“攻擊者提供了一個完美的通信中心”。

另一種經常使用的技術是使用從其他軟件制造商那里竊取的有效證書對惡意軟件進行簽名的做法。該惡意軟件掃描服務表示，自 2021 年 1 月以來，它發現了超過一百萬個惡意樣本，其中 87% 的惡意樣本在首次上傳到其數據庫時具有合法簽名。

VirusTotal 表示，自 2020 年 1 月以來，它還發現了 1,816 個樣本，這些樣本通過將惡意軟件打包在其他流行軟件（如 Google Chrome、Malwarebytes、Zoom、Brave、Mozilla Firefox 和 Proton VPN）的安裝程序中，偽裝成合法軟件。

當對手設法闖入合法軟件的更新服務器或未經授權訪問源代碼時，這種分發方法也可能導致供應鏈攻擊，從而有可能以木馬二進制文件的形式潛入惡意軟件。

或者，合法的安裝程序與帶有惡意軟件的文件一起打包在壓縮文件中，在一種情況下，包括合法的 Proton VPN 安裝程序和安裝 Jigsaw 勒索軟件的惡意軟件。

那不是全部。第三種方法雖然更復雜，但需要將合法安裝程序作為可移植可執行資源合并到惡意樣本中，以便在運行惡意軟件時也執行安裝程序，從而產生軟件按預期工作的錯覺。

“從整體考慮這些技術時，可以得出結論，攻擊者在短期和中期濫用（如被盜證書）的機會主義因素，以及攻擊者旨在視覺復制的常規（最有可能）自動化程序以不同的方式應用，”研究人員說。