Gli hackers imitano sempre più applicazioni legittime come Skype, Adobe Reader e VLC Player per ingannare le vittime tramite tecniche di social engineering, con l’adozione generale della strategia di abuse-of-trust.
Altre app legittime più imitate per icona includono 7-Zip, TeamViewer, CCleaner, Microsoft Edge, Steam, Zoom e WhatsApp, ha rivelato un’analisi di VirusTotal.
“Uno dei più semplici trucchi di ingegneria sociale che abbiamo visto consiste nel far sembrare un campione di malware un programma legittimo”, ha affermato VirusTotal in un rapporto.
“L’icona di questi programmi è una caratteristica fondamentale utilizzata per convincere le vittime che questi programmi sono legittimi”.
Non sorprende che gli hackers ricorrano a una varietà di approcci per compromettere gli endpoint inducendo utenti inconsapevoli a scaricare ed eseguire eseguibili apparentemente innocui.
Questo, a sua volta, si ottiene principalmente sfruttando i domini autentici nel tentativo di aggirare le difese firewall basate su IP. Alcuni dei principali domini abusati sono discordapp[.]com, squarespace[.]com, amazonaws[.]com, mediafire[.]com e qq[.]com.
In totale, sono stati rilevati non meno di 2,5 milioni di file sospetti scaricati da 101 domini appartenenti ai primi 1.000 siti Web di Alexa.
L’uso improprio di Discord è stato ben documentato, con la rete di distribuzione dei contenuti (CDN) della piattaforma che è diventata un terreno fertile per ospitare malware insieme a Telegram, offrendo anche un “hub di comunicazione perfetto per gli hackers”.
Un’altra tecnica molto utilizzata è la pratica di firmare malware con certificati validi rubati ad altri produttori di software. Il servizio di scansione malware ha affermato di aver trovato più di un milione di campioni dannosi da gennaio 2021, di cui l’87% aveva una firma legittima quando sono stati caricati per la prima volta nel suo database.
VirusTotal ha affermato di aver scoperto anche 1.816 campioni da gennaio 2020 mascherati da software legittimo, impacchettando il malware in programmi di installazione per altri software popolari come Google Chrome, Malwarebytes, Zoom, Brave, Mozilla Firefox e Proton VPN.
In alternativa, i programmi di installazione legittimi vengono impacchettati in file compressi insieme a file contenenti malware.
Non è tutto. Un altro metodo, sebbene più sofisticato, prevede l’incorporazione del programma di installazione legittimo, come portable executable resource, nell’campione dannoso.
“Pensando a queste tecniche nel loro insieme, si potrebbe concludere che ci sono sia fattori opportunistici di cui gli hackers possono sfruttare (come i certificati rubati) a breve e medio termine, sia procedure automatizzate di routine in cui gli hackers mirano a replicare visivamente applicazioni in modi diversi”, hanno affermato i ricercatori.