可用

VirusTotal 揭露恶意软件攻击中的假冒软件

  • 浏览次数 15077
  • 喜欢 0
  • 评分 12345

Hackernews 编译,转载请注明出处:

software-malware越来越多黑客模拟Skype、Adobe Reader和VLC Player等合法应用程序,以此作为滥用信任关系的手段,并增加社会工程攻击成功的可能性。

VirusTotal的分析显示,其他被模拟最多的合法应用程序包括7-Zip,TeamViewer,CCleaner,Microsoft Edge,Steam,Zoom和WhatsApp。

黑客通过欺骗不知情的用户下载和运行看似无害的可执行文件,从而采取各种方法来损害端点,这并不奇怪。

这主要是通过利用真实域来实现的,以绕过基于IP的防火墙防御。一些被滥用的顶级域名是discordapp[.]com、squarespace[.]com、amazonaws[.]com、mediafire[.]com和qq[.]com。

Alexa排名前1000的网站共有101个域名,其中至少有250万个可疑文件被检测到。

微信截图_20220804164304

另一种常用的技术是,用从其他软件制造商那里窃取的有效证书对恶意软件进行签名。该恶意软件扫描服务表示,自2021年1月以来,它发现了100多万个恶意样本,其中87%在首次上传到其数据库时具有合法签名。

VirusTotal表示,自2020年1月以来,它还发现了1816个样本,这些样本伪装成合法软件,将恶意软件打包到其他流行软件的安装程序中,如Google Chrome、Malwarebytes、Zoom、Brave、Mozilla Firefox和Proton VPN。

当黑客设法侵入合法软件的更新服务器或未经授权访问源代码时,这种分发方法还可能导致供应链攻击,从而以特洛伊木马二进制文件的形式潜入恶意软件。

或者,合法的安装程序与恶意软件一起打包在压缩文件中,其中包括合法的Proton VPN安装程序和安装Jigsaw勒索软件的恶意软件。

第三种方法虽然更复杂,但需要将合法安装程序作为可移植的可执行资源合并到恶意样本中,以便在恶意软件运行时也执行安装程序,从而产生软件按预期工作的假象。

研究人员说:“当把这些技术作为一个整体考虑时,可以得出结论,攻击者在短期和中期滥用(如被盗证书)既有机会主义因素,也有常规(最有可能)自动化程序,攻击者旨在以不同的方式直观复制应用程序。”

 

消息来源:TheHackerNews,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文