Un’analisi di VirusTotal ha rivelato che le altre applicazioni legittime più impersonate dalle icone includono 7-Zip, TeamViewer, CCleaner, Microsoft Edge, Steam, Zoom e WhatsApp.
“Uno dei più semplici trucchi di social engineering che abbiamo visto consiste nel far sembrare un campione di malware un programma legittimo“, ha dichiarato VirusTotal in un rapporto di martedì. “L’icona di questi programmi è una caratteristica fondamentale utilizzata per convincere le vittime che questi programmi sono legittimi“.
Non sorprende che gli attori delle minacce ricorrano a una varietà di approcci per compromettere gli endpoint, ingannando gli utenti inconsapevoli che scaricano ed eseguono eseguibili apparentemente innocui.
Questo, a sua volta, si ottiene principalmente sfruttando domini autentici nel tentativo di aggirare le difese firewall basate sull’IP. Alcuni dei domini più abusati sono discordapp[.]com, squarespace[.]com, amazonaws[.]com, mediafire[.]com e qq[.]com.
In totale, sono stati rilevati non meno di 2,5 milioni di file sospetti scaricati da 101 domini appartenenti ai primi 1.000 siti web di Alexa.
L’uso improprio di Discord è stato ben documentato, in quanto la rete di distribuzione dei contenuti (CDN) della piattaforma è diventata un terreno fertile per ospitare malware insieme a Telegram, offrendo anche un “perfetto hub di comunicazione per gli aggressori“.
Un’altra tecnica spesso utilizzata è la pratica di firmare il malware con certificati validi rubati da altri produttori di software. Il servizio di scansione malware ha dichiarato di aver trovato più di un milione di campioni dannosi dal gennaio 2021, di cui l’87% aveva una firma legittima quando è stato caricato per la prima volta nel suo database.
VirusTotal ha dichiarato di aver individuato anche 1.816 campioni da gennaio 2020 che si sono mascherati da software legittimo confezionando il malware in programmi di installazione per altri software popolari come Google Chrome, Malwarebytes, Zoom, Brave, Mozilla Firefox e Proton VPN.
Questo metodo di distribuzione può anche risultare in un attacco alla catena di distribuzione quando gli avversari riescono a introdursi nel server di aggiornamento di un software legittimo o a ottenere un accesso non autorizzato al codice sorgente, rendendo possibile l’introduzione del malware sotto forma di binari troianizzati.
In alternativa, gli installatori legittimi vengono inseriti in file compressi insieme a file contenenti malware, in un caso comprendente l’installatore legittimo di Proton VPN e il malware che installa il ransomware Jigsaw.
Non è tutto. Un terzo metodo, sebbene più sofisticato, consiste nell’incorporare il programma di installazione legittimo come risorsa eseguibile portatile nel campione dannoso, in modo che anche il programma di installazione venga eseguito quando il malware viene eseguito, per dare l’illusione che il software funzioni come previsto.
“Se si pensa a queste tecniche nel loro complesso, si potrebbe concludere che gli aggressori possono abusare sia di fattori opportunistici (come i certificati rubati) a breve e medio termine, sia di procedure routinariamente (molto probabilmente) automatizzate in cui gli aggressori mirano a replicare visivamente le applicazioni in modi diversi“, hanno dichiarato i ricercatori.