يكشف VirusTotal عن معظم البرامج المنتحلة في هجمات البرامج الضارة


يقوم المهاجمون بتقليد التطبيقات المشروعة بشكل متزايد مثل Skype و Adobe Reader و VLC Player كوسيلة لإساءة استخدام علاقات الثقة وزيادة احتمالية حدوث هجوم ناجح للهندسة الاجتماعية.

تشمل التطبيقات الشرعية الأخرى الأكثر انتحالًا من خلال الأيقونة 7-Zip و TeamViewer و CCleaner و Microsoft Edge و Steam و Zoom و WhatsApp، وقد كشف تحليل من VirusTotal.

وقالت VirusTotal في تقرير يوم الثلاثاء: "إحدى أبسط حيل الهندسة الاجتماعية التي رأيناها تتضمن جعل عينة من البرامج الضارة تبدو برنامجًا شرعيًا". "رمز هذه البرامج هو سمة حاسمة تستخدم لإقناع الضحايا بأن هذه البرامج مشروعة".

ليس من المستغرب أن يلجأ الفاعلون المهددون إلى مجموعة متنوعة من الأساليب للتغلب على نقاط النهاية من خلال خداع المستخدمين غير الراغبين في تنزيل وتشغيل ملفات تنفيذية تبدو غير ضارة.

يتم تحقيق ذلك ، بدوره ، بشكل أساسي من خلال الاستفادة من المجالات الأصلية في محاولة للالتفاف على دفاعات جدار الحماية القائمة على بروتوكول الإنترنت. بعض أهم المجالات التي يتم إساءة استخدامها هي discordapp [.] com و squarespace [.] com و amazonaws [.] com و mediafire [.] com و qq [.] com.

في المجموع، تم اكتشاف ما لا يقل عن 2.5 مليون ملف مشبوه تم تنزيله من 101 نطاقًا ينتمي إلى أفضل 1000 موقع إلكتروني لـ Alexa.

لقد تم توثيق إساءة استخدام Discord جيدًا ، حيث أصبحت شبكة توصيل محتوى النظام الأساسي (CDN) أرضًا خصبة لاستضافة البرامج الضارة جنبًا إلى جنب مع Telegram، مع توفير "مركز اتصالات مثالي للمهاجمين".

من الأساليب الأخرى المستخدمة كثيرًا هي ممارسة توقيع برامج ضارة بشهادات صالحة مسروقة من صانعي البرامج الآخرين. قالت خدمة مسح البرمجيات الخبيثة إنها عثرت على أكثر من مليون عينة خبيثة منذ يناير 2021 ، 87٪ منها كان لها توقيع شرعي عندما تم تحميلها لأول مرة إلى قاعدة البيانات الخاصة بها.

قالت VirusTotal إنها كشفت أيضًا عن 1816 عينة منذ يناير 2020 تنكرت كبرنامج شرعي من خلال حزم البرامج الضارة في أدوات التثبيت لبرامج أخرى شهيرة مثل Google Chrome و Malwarebytes و Zoom و Brave و Mozilla Firefox و Proton VPN.

يمكن أن تؤدي طريقة التوزيع هذه أيضًا إلى سلسلة توريد عندما يتمكن المهاجمون من اختراق خادم تحديث برنامج شرعي أو الحصول على وصول غير مصرح به إلى الكود المصدري، مما يجعل من الممكن التسلل إلى البرامج الضارة في شكل ثنائيات طروادة.

بدلاً من ذلك، يتم حزم المثبتات الشرعية في ملفات مضغوطة إلى جانب الملفات التي تحتوي على برامج ضارة، في حالة واحدة بما في ذلك مثبت Proton VPN الشرعي والبرامج الضارة التي تثبت Jigsaw ransomware.




from موضوع جديد لك https://ift.tt/yafSlzg