Útočníci klamou uživatele a zneužívají při malwarových kampaních legitimní software

Zpět na blog

Aktéři hrozeb stále častěji napodobují legitimní aplikace, jako jsou Skype, Adobe Reader a VLC Player, aby zneužili důvěru uživatelů v tyto značky a zvýšili pravděpodobnosti úspěšného útoku.

Mezi další nejčastěji napodobované legitimní aplikace podle ikon patří 7-Zip, TeamViewer, CCleaner, Microsoft Edge, Steam, Zoom a WhatsApp, odhalila analýza společnosti VirusTotal.

„Jeden z nejjednodušších triků sociálního inženýrství, které jsme viděli, spočívá v tom, že vzorek malwaru vypadá jako legitimní program,“ uvedla společnost VirusTotal ve své zprávě. „Ikona těchto programů je kritickým prvkem používaným k přesvědčení obětí, že tyto programy jsou legitimní.“

Není žádným překvapením, že se aktéři hrozeb uchylují k různým přístupům ke kompromitaci koncových bodů tím, že nevědomé uživatele přimějí ke stažení a spuštění zdánlivě neškodných spustitelných souborů. Toho je zase dosaženo především využitím skutečných domén ve snaze obejít obranu brány firewall založené na IP. Mezi nejčastěji zneužívané domény patří discordapp[.]com, squarespace[.]com, amazonaws[.]com, mediafire[.]com a qq[.]com.

Celkem bylo odhaleno více než 2,5 milionu podezřelých souborů stažených ze 101 domén patřících mezi 1 000 nejnavštěvovanějších webových stránek. Zneužití služby Discord je dobře zdokumentováno, co se týče sítě pro doručování obsahu (CDN) této platformy, která se vedle služby Telegram stala živnou půdou pro hostování malwaru a zároveň nabízí „dokonalé komunikační centrum pro útočníky“.

Další často používanou technikou je podepisování malwaru platnými certifikáty ukradenými od jiných výrobců softwaru. Služba pro skenování malwaru uvedla, že od ledna 2021 našla více než milion škodlivých vzorků, z nichž 87 % mělo při prvním nahrání do její databáze legitimní podpis.

Společnost VirusTotal také uvedla, že od ledna 2020 odhalila 1 816 vzorků, které se vydávaly za legitimní software tím, že malware přibalily do instalačních programů pro jiný populární software, jako jsou Google Chrome, Malwarebytes, Zoom, Brave, Mozilla Firefox a Proton VPN.

Takový způsob distribuce může také vést k útoku na dodavatelský řetězec, když se protivníkům podaří proniknout do aktualizačního serveru legitimního softwaru nebo získat neoprávněný přístup ke zdrojovému kódu, což umožní propašovat malware v podobě trojanizovaných binárních souborů.

Alternativně jsou legitimní instalační programy zabaleny do komprimovaných souborů spolu se soubory obsahujícími malware, v jednom případě včetně legitimního instalačního programu Proton VPN a malwaru, který instaluje ransomware Jigsaw.

To ale není všechno. Další metoda, i když sofistikovanější, spočívá v začlenění legitimního instalátoru jako přenosného spustitelného prostředku do škodlivého vzorku, takže při spuštění malwaru se spustí i instalátor, aby vznikl dojem, že software funguje, jak má.

„Když se nad těmito technikami zamyslíme jako nad celkem, můžeme dojít k závěru, že jde jak o oportunistické faktory, které útočníci zneužívají (například ukradené certifikáty) v krátkodobém a střednědobém horizontu, tak o rutinní (nejspíše) automatizované postupy, kdy se útočníci snaží vizuálně replikovat aplikace různými způsoby,“ uvedli výzkumníci.

Zdroj: The Hacker News

12. 8. 2022