Pelaku ancaman semakin meniru aplikasi yang sah seperti Skype, Adobe Reader, dan VLC Player sebagai sarana untuk menyalahgunakan hubungan kepercayaan dan meningkatkan kemungkinan serangan rekayasa sosial yang berhasil.
Aplikasi sah lainnya yang paling banyak ditiru oleh ikon termasuk 7-Zip, TeamViewer, CCleaner, Microsoft Edge, Steam, Zoom, dan WhatsApp, sebuah analisis dari VirusTotal telah mengungkapkan.
“Salah satu trik rekayasa sosial paling sederhana yang pernah kami lihat melibatkan membuat sampel malware tampak sebagai program yang sah,” kata VirusTotal dalam laporan Selasa. “Ikon program ini adalah fitur penting yang digunakan untuk meyakinkan korban bahwa program ini sah.”
Tidak mengherankan bahwa pelaku ancaman menggunakan berbagai pendekatan untuk mengkompromikan titik akhir dengan mengelabui pengguna tanpa disadari agar mengunduh dan menjalankan executable yang tampaknya tidak berbahaya.
Ini, pada gilirannya, terutama dicapai dengan memanfaatkan domain asli dalam upaya untuk mengatasi pertahanan firewall berbasis IP. Beberapa domain yang disalahgunakan teratas adalah discordapp[.]com, ruang persegi[.]com, amazonaws[.]com, mediafire[.]com, dan qq[.]com.
Secara total, tidak kurang dari 2,5 juta file mencurigakan yang diunduh dari 101 domain milik 1.000 situs web teratas Alexa telah terdeteksi.
Penyalahgunaan Discord telah didokumentasikan dengan baik, dengan jaringan pengiriman konten (CDN) platform menjadi lahan subur untuk menampung malware bersama Telegram, sementara juga menawarkan “pusat komunikasi yang sempurna untuk penyerang.”
Teknik lain yang sering digunakan adalah praktik menandatangani malware dengan sertifikat valid yang dicuri dari pembuat perangkat lunak lain. Layanan pemindaian malware mengatakan telah menemukan lebih dari satu juta sampel berbahaya sejak Januari 2021, di mana 87% di antaranya memiliki tanda tangan yang sah saat pertama kali diunggah ke basis datanya.
VirusTotal mengatakan juga menemukan 1.816 sampel sejak Januari 2020 yang menyamar sebagai perangkat lunak yang sah dengan mengemas malware dalam penginstal untuk perangkat lunak populer lainnya seperti Google Chrome, Malwarebytes, Zoom, Brave, Mozilla Firefox, dan Proton VPN.
Metode distribusi seperti itu juga dapat mengakibatkan rantai pasokan ketika penyerang berhasil membobol server pembaruan perangkat lunak yang sah atau mendapatkan akses tidak sah ke kode sumber, sehingga memungkinkan untuk menyelinap malware dalam bentuk binari trojan.
Atau, penginstal yang sah sedang dikemas dalam file terkompresi bersama dengan file yang mengandung malware, dalam satu kasus termasuk penginstal Proton VPN yang sah dan malware yang menginstal ransomware Jigsaw.
Itu tidak semua. Metode ketiga, meskipun lebih canggih, memerlukan penggabungan penginstal yang sah sebagai sumber daya portabel yang dapat dieksekusi ke dalam sampel berbahaya sehingga penginstal juga dieksekusi ketika malware dijalankan sehingga memberikan ilusi bahwa perangkat lunak berfungsi sebagaimana dimaksud.
“Ketika memikirkan teknik ini secara keseluruhan, orang dapat menyimpulkan bahwa ada faktor oportunistik bagi penyerang untuk menyalahgunakan (seperti sertifikat curian) dalam jangka pendek dan menengah, dan prosedur otomatis (kemungkinan besar) rutin di mana penyerang bertujuan untuk meniru secara visual. aplikasi dengan cara yang berbeda,” kata para peneliti.