De acordo com as últimas descobertas da pesquisa do VirusTotal, os cibercriminosos e os agentes de ameaças estão confiando cada vez mais em versões imitadas de aplicativos genuínos de uso comum, como Adobe Reader, Skype e VLC Player para conduzir com sucesso ataques de engenharia social.
Detalhes das descobertas
Em seu estudo de malware, pesquisadores do VirusTotal do Google revelaram que os cibercriminosos implantam várias abordagens para abusar da confiança que os usuários têm em muitos aplicativos respeitáveis.
A tática mais difundida é imitar aplicativos legítimos para entregar malware. Nessa técnica, o ícone do aplicativo é replicado para ganhar a confiança da vítima e convencê-la a usar o aplicativo imitado. O objetivo por trás dessa nova estratégia maliciosa é contornar soluções de segurança como firewalls baseados em IP ou domínio em dispositivos e espalhar malware por meio de domínios confiáveis.
Outra tática de ataque comumente usada é roubar certificados de assinatura autênticos de fornecedores de software legítimos e usá-los para assinar o malware. Alegadamente, desde 2021, mais de um milhão de amostras assinadas foram declaradas suspeitas.
Cerca de treze por cento das amostras verificadas pela equipe do Google não tinham uma assinatura válida quando carregadas no VirusTotal pela primeira vez, e mais de noventa e nove por cento delas eram DLL ou Windows Portable Arquivos executáveis.
Isso acontece porque o processo de examinar a validade de um arquivo assinado pode ser abusado por malware afirmou o engenheiro de segurança do VirusTotal Vicente Diaz. Isso se torna preocupante quando os invasores começam a roubar certificados legítimos e a criar um cenário ideal de ataque à cadeia de suprimentos.
A terceira técnica é incorporar instaladores legítimos como um recurso executável em amostras maliciosas para executar o instalador quando o malware é executado.
Mais de 2 milhões de arquivos suspeitos baixados dos principais domínios
De acordo com a postagem do blog do VirusTotal , dez por cento dos top 1.000 domínios Alexa distribuíram amostras suspeitas, incluindo os domínios comumente usados para distribuir arquivos, e mais de 2 milhões de arquivos obscuros foram baixados desses domínios.
Apesar da simplicidade da técnica, explica Diaz, ela pode efetivamente evitar levantar bandeiras vermelhas para a vítima. É por isso que muitos canais estão se tornando populares como potentes vetores de distribuição de malware. Isso inclui a distribuição de software craqueado.
Sites e aplicativos mais abusados
Os três principais aplicativos imitados incluem o seguinte:
Adobe Acrobat
VLC media player
Plataforma VoIP Skype
Quando os pesquisadores examinaram os URLs usando a semelhança de ícones da web, WhatsApp, Instagram, Facebook e iCloud foram os quatro sites mais abusados.
“Adobe Acrobat, Skype e 7zip são muito populares e têm a maior taxa de infecção, o que provavelmente os torna os três principais aplicativos e ícones a serem observados do ponto de vista da engenharia social.”
VirusTotal
Além disso, o VirusTotal descobriu 1.816 amostras desde Janeiro de 2020 mascarando software legítimo, ocultando o malware em instaladores de software popular como Zoom, Google Chrome, Proton VPN, Brave e Mozilla Firefox.
Outros aplicativos representados por ícone foram TeamViewer, 7-Zip, CCleaner, Steam, Microsoft Edge, Zoom e WhatsApp. Os domínios abusados incluídos são discordappcom, squarespacecom, amazonawscom, mediafirecom e qqcom.
O motivo pelo qual os invasores estão usando esses softwares e aplicativos ainda é desconhecido, mas um dos motivos pode ser sua popularidade, afirmou Diaz.
