0
0
Um estudo de malware enviado ao VirusTotal mostra que cibercriminosos e outros agentes de ameaças estão implantando uma variedade de abordagens de abuso de confiança para espalhar malware e evitar defesas tradicionais, muitas vezes explorando a confiança implícita entre um fornecedor de software respeitável e o usuário.
A equipe de pesquisa do VirusTotal do Google Cloud descobriu métodos populares, incluindo o uso de canais de distribuição legítimos para distribuir malware e imitar aplicativos legítimos. Ao distribuir malware por meio de domínios legítimos, o malware pode muitas vezes passar pelas defesas de perímetro tradicionais, incluindo firewalls baseados em domínio ou IP – o relatório diz que 10% dos 1.000 principais domínios Alexa distribuíram amostras suspeitas.
No total, o Google encontrou mais de 2 milhões de arquivos suspeitos baixados de domínios legítimos do Alexa, incluindo domínios usados regularmente para distribuição de arquivos. Outro vetor de ataque é o roubo de certificados de assinatura legítimos de fabricantes de software legítimos, que são usados para assinar o malware. Desde 2021, mais de 1 milhão de amostras assinadas foram consideradas suspeitas, de acordo com um novo relatório da equipe do Google.
Mesmo quando várias amostras usavam certificados inválidos ou revogados, as vítimas geralmente não confirmavam a validade dos certificados. Quase 13% das amostras não tinham uma assinatura válida quando foram carregadas pela primeira vez no VirusTotal, e mais de 99% delas eram arquivos executáveis ou DLL do Windows Portable, de acordo com o relatório.
“Ficamos surpresos com a quantidade de amostras de malware assinadas que encontramos, muitas delas aparentemente válidas no momento da análise”, diz Vicente Diaz, engenheiro de segurança do VirusTotal. “Infelizmente, o processo de verificar se um arquivo assinado é válido não é trivial e pode ser abusado por malware para evitar diferentes medidas de segurança ou, mais uma vez, abusar da confiança da vítima.”
Isso é especialmente preocupante no caso de invasores que roubam certificados legítimos, o que potencialmente cria um cenário perfeito para ataques à cadeia de suprimentos . Os invasores estão cada vez mais implantando malware disfarçado de software legítimo, um sucesso básico de engenharia social ganhando força. Ao usar esse método, o ícone do aplicativo, reconhecido e aceito pela vítima, é usado para convencê-la de que o aplicativo é legítimo.
“Na maioria das vezes, vimos essa técnica sendo abusada por invasores em ataques relativamente simples, com software legítimo sendo um chamariz para a vítima”, diz Diaz. “Em outras palavras, isso significa instalar o malware e o software que a vítima pensou que estava instalando legitimamente”.
Ele explica que, apesar de sua simplicidade, essa técnica ainda pode ser eficaz e evitar o alarme da vítima. “Também acreditamos que essa pode ser uma tendência crescente, pois alguns canais parecem estar ganhando popularidade como vetores de distribuição de malware, incluindo distribuição de software crackeado e similares – o que cria um cenário perfeito para esses tipos de ataques”, diz Diaz.
A popular plataforma VoIP Skype, Adobe Acrobat e o media player VLC compuseram os três principais ícones de aplicativos mais espelhados, de acordo com o relatório. “Adobe Acrobat, Skype e 7zip são muito populares e têm a maior taxa de infecção, o que provavelmente os torna os três principais aplicativos e ícones a serem observados do ponto de vista da engenharia social”, observa o relatório.
Diaz diz que não está claro por que os invasores estão escolhendo esse software – além de sua popularidade. “Isso também pode ser circunstancial com base em campanhas específicas que alavancam esses aplicativos”, diz ele. “Nossa crença é que os invasores alternam regularmente o software espelhado com base na popularidade, campanhas ou outras circunstâncias – e estaremos monitorando sua evolução futura”.
A equipe do VirusTotal realizou uma análise semelhante em URLs usando semelhança de ícones de sites, descobrindo que WhatsApp, Facebook, Instagram e iCloud são os quatro principais sites mais abusados por vários URLs diferentes suspeitos de serem maliciosos. Considerando a tendência crescente de imitar visualmente aplicativos legítimos, a equipe de pesquisa diz que planeja uma análise contínua dos aplicativos direcionados com mais frequência.
Ignorando a conscientização de segurança
Diaz explica que o abuso desses recursos legítimos parece ser um esforço dos invasores para substituir o que foi ensinado aos usuários – como verificar se um domínio vinculado é legítimo, garantir que o que você está instalando tenha o ícone esperado e que o executável esteja assinado .
“Isso parece uma tendência natural de contornar algumas precauções básicas do usuário e algumas medidas simples de segurança, como bloquear alguns domínios”, diz ele. “Não acho necessariamente que os atacantes mudarão muito suas táticas – eles estão simplesmente ajustando suas defesas e canais de distribuição de acordo”.
Ele acrescenta que é interessante notar o aumento de invasores que abusam de canais de distribuição legítimos e domínios principais usando conteúdo criptografado ou artefatos multicomponentes que são difíceis de identificar como maliciosos por conta própria.
FONTE: DARK READING