Внимание, авторы вредоносного ПО чаще всего выдают себя за эти приложения

приложения авторы вредоносных программ выдают себя за новости
Кампании вредоносных программ используют различные методы для контрабанды вредоносного программного обеспечения на вычислительные устройства без уведомления пользователей или антивирусных систем. Злоумышленники, которые разрабатывают и распространяют вредоносное ПО, часто используют различные формы имитации, чтобы воспользоваться доверием пользователей к законным веб-сайтам, службам и приложениям. Фишинговые атаки могут направлять пользователей на загрузку страниц, которые кажутся частью знакомых и надежных веб-сайтов, но на самом деле распространяют трояны , которые выглядят как популярные приложения.

VirusTotal, онлайн-сервис, который анализирует более двух миллионов файлов и веб-сайтов в день, проверяя их на соответствие более чем семидесяти антивирусным сканерам и черным спискам доменов, выпустил отчет, в котором содержится информация о различных методах обмана, используемых в кампаниях с вредоносным ПО. Согласно отчету, злоумышленники все чаще упаковывают вредоносное ПО в законные установщики приложений, а также разрабатывают вредоносное ПО, визуально имитирующее законные приложения.

приложения авторы вредоносного ПО выдают себя за значок приложения новости
Значки приложений, которые чаще всего имитируются вредоносными программами (источник: VirusTotal )

Один из методов, который злоумышленники все чаще используют для того, чтобы вредоносное ПО выглядело легитимным, — это создание значков программ, идентичных или визуально похожих на значки популярных приложений. VirusTotal обнаружил, что в период с января 2021 года по июль 2022 года вредоносные программы для Windows чаще всего имитировали значки Skype, Adobe Acrobat и VLC. VirusTotal называет Google Chrome, Malwarebytes, Центр обновления Windows, Zoom, Brave, Firefox, ProtonVPN и Telegram популярными приложениями, которые злоумышленники любят упаковывать с вредоносными программами.

VirusTotal был удивлен, обнаружив, как часто вредоносные файлы подписываются украденными ключами подписи. Ранее в этом году группа хакеров, известная как LAPSUS$ утверждал, что украл 1 ТБ данных у NVIDIA. Группа публично слила только 20 ГБ этих данных, прежде чем семь членов группы были арестованы . Тем не менее, эта утечка все же нанесла значительный ущерб, поскольку обнаружила два сертификата подписи кода NVIDIA , которые разработчики вредоносных программ сразу же начали использовать для подписи вредоносных пакетов. NVIDIA не уникальна в случае кражи ключей подписи. У других компаний также были украдены сертификаты. Некоторые из этих украденных ключей становятся недействительными из-за истечения срока действия или отзыва. Тем не менее, VirusTotal по-прежнему обнаружил почти миллион вредоносных файлов, подписанных действительными сертификатами в период с января 2021 года по июнь 2022 года.

приложения авторы вредоносного ПО выдают себя за фавикон новости
Фавиконы веб-сайтов, которые чаще всего имитируются вредоносными веб-сайтами (источник: VirusTotal)

Наконец, VirusTotal изучал не только сами пакеты вредоносных программ, но и веб-сайты, распространяющие вредоносные программы. Как упоминалось выше, фишинговые атаки часто используют веб-сайты, которые выглядят как настоящие веб-сайты. Мошеннические веб-сайты часто используют тот же значок, что и веб-сайты, которые они имитируют. Фавикон — это небольшой значок, который появляется в верхней части веб-браузера при посещении веб-сайта. Согласно отчету, фавиконы Whatsapp, Instagram и Facebook чаще всего используются вредоносными веб-сайтами.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал