Кампании вредоносных программ используют различные методы для контрабанды вредоносного программного обеспечения на вычислительные устройства без уведомления пользователей или антивирусных систем. Злоумышленники, которые разрабатывают и распространяют вредоносное ПО, часто используют различные формы имитации, чтобы воспользоваться доверием пользователей к законным веб-сайтам, службам и приложениям. Фишинговые атаки могут направлять пользователей на загрузку страниц, которые кажутся частью знакомых и надежных веб-сайтов, но на самом деле распространяют трояны , которые выглядят как популярные приложения.
VirusTotal, онлайн-сервис, который анализирует более двух миллионов файлов и веб-сайтов в день, проверяя их на соответствие более чем семидесяти антивирусным сканерам и черным спискам доменов, выпустил отчет, в котором содержится информация о различных методах обмана, используемых в кампаниях с вредоносным ПО. Согласно отчету, злоумышленники все чаще упаковывают вредоносное ПО в законные установщики приложений, а также разрабатывают вредоносное ПО, визуально имитирующее законные приложения.
Один из методов, который злоумышленники все чаще используют для того, чтобы вредоносное ПО выглядело легитимным, — это создание значков программ, идентичных или визуально похожих на значки популярных приложений. VirusTotal обнаружил, что в период с января 2021 года по июль 2022 года вредоносные программы для Windows чаще всего имитировали значки Skype, Adobe Acrobat и VLC. VirusTotal называет Google Chrome, Malwarebytes, Центр обновления Windows, Zoom, Brave, Firefox, ProtonVPN и Telegram популярными приложениями, которые злоумышленники любят упаковывать с вредоносными программами.
VirusTotal был удивлен, обнаружив, как часто вредоносные файлы подписываются украденными ключами подписи. Ранее в этом году группа хакеров, известная как LAPSUS$ утверждал, что украл 1 ТБ данных у NVIDIA. Группа публично слила только 20 ГБ этих данных, прежде чем семь членов группы были арестованы . Тем не менее, эта утечка все же нанесла значительный ущерб, поскольку обнаружила два сертификата подписи кода NVIDIA , которые разработчики вредоносных программ сразу же начали использовать для подписи вредоносных пакетов. NVIDIA не уникальна в случае кражи ключей подписи. У других компаний также были украдены сертификаты. Некоторые из этих украденных ключей становятся недействительными из-за истечения срока действия или отзыва. Тем не менее, VirusTotal по-прежнему обнаружил почти миллион вредоносных файлов, подписанных действительными сертификатами в период с января 2021 года по июнь 2022 года.
Наконец, VirusTotal изучал не только сами пакеты вредоносных программ, но и веб-сайты, распространяющие вредоносные программы. Как упоминалось выше, фишинговые атаки часто используют веб-сайты, которые выглядят как настоящие веб-сайты. Мошеннические веб-сайты часто используют тот же значок, что и веб-сайты, которые они имитируют. Фавикон — это небольшой значок, который появляется в верхней части веб-браузера при посещении веб-сайта. Согласно отчету, фавиконы Whatsapp, Instagram и Facebook чаще всего используются вредоносными веб-сайтами.