VirusTotal tiết lộ các phần mềm mạo danh trong các cuộc tấn công bằng phần mềm độc hại | VN-Zoom | Cộng đồng Chia Sẻ Kiến Thức Công Nghệ và Phần Mềm Máy Tính

VirusTotal tiết lộ các phần mềm mạo danh trong các cuộc tấn công bằng phần mềm độc hại

TamcauchuY

Rìu Vàng Đôi
Ngày 23/09/22
Các hackers càng ngày càng gia tăng bắt chước các ứng dụng hợp pháp như Skype, Adobe Reader và VLC Player và sử dụng chúng như một phương tiện để lạm dụng lòng tin và gia tăng khả năng thành công của một cuộc tấn công lường gạt xã hội (social engineering). Các ứng dụng hợp pháp khác bị mạo danh nhiều nhất theo biểu tượng (icon) bao gồm 7-Zip, TeamViewer, CCleaner, Microsoft Edge, Steam, Zoom và WhatsApp, một phân tích từ VirusTotal đã tiết lộ.
malware11.jpg

VirusTotal cho biết trong một báo cáo hôm thứ Ba rằng: “Một trong những thủ thuật kỹ thuật lường gạt xã hội (social engineering) đơn giản nhất mà chúng tôi từng thấy liên quan đến việc làm cho một mẫu phần mềm độc hại có vẻ như là một chương trình hợp pháp. "Biểu tượng của các chương trình này là một tính năng quan trọng được sử dụng để thuyết phục nạn nhân rằng các chương trình này là hợp pháp." Không có gì ngạc nhiên khi các hackers sử dụng nhiều cách tiếp cận khác nhau để vượt qua các hàng rào bảo vệ của máy tính (compromise endpoints) bằng cách lừa người dùng không thông thạo tải xuống và chạy các tập thực thi (executables) trông dường như vô hại. Đổi lại, điều này chủ yếu đạt được bằng cách tận dụng các tên miền chính hãng trong nỗ lực vượt qua các bảo vệ tường lửa dựa trên IP (IP-based firewall defenses). Một số miền bị lạm dụng hàng đầu là discordapp [.] Com, squarespace [.] Com, amazonaws [.] Com, mediafire [.] Com và qq [.] Com. Tổng cộng, không dưới 2,5 triệu tập tin (files) đáng ngờ được tải xuống từ 101 tên miền thuộc 1.000 trang web hàng đầu của Alexa đã được phát hiện. Việc lạm dụng Discord đã được ghi nhận rõ ràng, điều này đã khiến mạng phân phối nội dung (CDN) của nền tảng (Discord) trở thành mảnh đất màu mỡ để lưu trữ phần mềm độc hại cùng với Telegram, đồng thời cung cấp một "trung tâm liên lạc hoàn hảo cho những kẻ tấn công."
Một kỹ thuật thường được sử dụng khác là ký tên các phần mềm độc hại với các chứng chỉ hợp lệ bị đánh cắp từ các nhà sản xuất phần mềm khác. Dịch vụ quét phần mềm độc hại cho biết họ đã tìm thấy hơn một triệu mẫu mã độc kể từ tháng 1 năm 2021, trong đó 87% có chữ ký hợp pháp khi chúng được tải lên cơ sở dữ liệu lần đầu tiên. VirusTotal cho biết họ cũng đã phát hiện ra 1.816 mẫu kể từ tháng 1 năm 2020 được giả mạo là phần mềm hợp pháp bằng cách đóng gói phần mềm độc hại trong trình cài đặt cho các phần mềm phổ biến khác như Google Chrome, Malwarebytes, Zoom, Brave, Mozilla Firefox và Proton VPN. Phương thức phân phối phần mềm như vậy cũng có thể dẫn đến một cuộc tấn công chuỗi cung ứng khi hackers cố gắng đột nhập vào máy chủ cập nhật của phần mềm hợp pháp hoặc truy cập trái phép vào mã nguồn, khiến cho phần mềm độc hại có thể lén lút ở dạng mã nhị phân mở cổng sau (trojanized). Ngoài ra, các trình cài đặt hợp pháp được đóng gói trong các tập nén cùng với các tập chứa phần mềm độc hại, trong một trường hợp, trình cài đặt Proton VPN hợp pháp được đóng gói với phần mềm tống tiền mã hóa dữ liệu ransomware Jigsaw.
Đó không phải là tất cả. Phương pháp thứ ba, mặc dù phức tạp hơn, đòi hỏi phải kết hợp trình cài đặt hợp pháp làm tài nguyên thực thi di động vào mẫu độc hại để trình cài đặt cũng được thực thi khi phần mềm độc hại được chạy để tạo ảo giác rằng phần mềm đang hoạt động như dự kiến.

Nguồn: thehackernews​
 
Sửa lần cuối bởi điều hành viên:
Top