?攻擊者越來越多地模仿 Skype、Adobe Reader 和 VLC Player 等應(yīng)用程序來濫用用戶的信任來增加社會(huì)工程攻擊成功的可能性。

VirusTotal 的一項(xiàng)分析顯示，其他大多數(shù)通過圖標(biāo)模擬的合法應(yīng)用程序包括 7-Zip、TeamViewer、CCleaner、Microsoft Edge、Steam、Zoom 和 WhatsApp。

VirusTotal在周二的一份報(bào)告中說：“我們見過的最簡(jiǎn)單的社會(huì)工程技巧之一就是讓惡意軟件樣本看起來是合法的程序。這些程序的圖標(biāo)是用來說服受害者這些程序是合法的一個(gè)關(guān)鍵作用?！?/p>

毫不奇怪，攻擊者采用各種方法通過誘使不知情的用戶下載和運(yùn)行看似無害的可執(zhí)行文件來破壞客戶端。

反過來，這主要是利用真正的域來繞過基于 IP 的防火墻防御來實(shí)現(xiàn)的。一些最常被濫用的域名是 discordapp[.]com、squarespace[.]com、amazonaws[.]com、mediafire[.]com 和 qq[.]com。

總共檢測(cè)到不少于 250 萬個(gè)從屬于 Alexa 前 1000 個(gè)網(wǎng)站的 101 個(gè)域下載的可疑文件。

Discord 的濫用已得到充分證明，該平臺(tái)的內(nèi)容交付網(wǎng)絡(luò) (CDN) 成為與 Telegram 一起托管惡意軟件的沃土，同時(shí)還為“攻擊者提供了完美的通信中心”。

另一種經(jīng)常使用的技術(shù)是使用從其他軟件制造商那里竊取的有效證書對(duì)惡意軟件進(jìn)行簽名的做法。該惡意軟件掃描服務(wù)表示，自 2021 年 1 月以來，它發(fā)現(xiàn)了超過一百萬個(gè)惡意樣本，其中 87% 的惡意樣本在首次上傳到其數(shù)據(jù)庫時(shí)具有合法簽名。

VirusTotal 表示，自 2020 年 1 月以來，它還發(fā)現(xiàn)了 1,816 個(gè)樣本，這些樣本通過將惡意軟件打包在其他流行軟件（如 Google Chrome、Malwarebytes、Zoom、Brave、Mozilla Firefox 和 Proton VPN）的安裝程序中，偽裝成合法軟件。

當(dāng)攻擊者設(shè)法闖入合法軟件的更新服務(wù)器或未經(jīng)授權(quán)訪問源代碼時(shí)，這種分發(fā)方法也可能導(dǎo)致供應(yīng)鏈，從而有可能以木馬二進(jìn)制文件的形式潛入惡意軟件。

或者，合法的安裝程序與帶有惡意軟件的文件一起打包在壓縮文件中，在一種情況下，包括合法的 Proton VPN 安裝程序和安裝 Jigsaw 勒索軟件的惡意軟件。

那不是全部。第三種方法雖然更復(fù)雜，但需要將合法安裝程序作為可移植可執(zhí)行資源合并到惡意樣本中，以便在運(yùn)行惡意軟件時(shí)也執(zhí)行安裝程序，從而產(chǎn)生軟件按預(yù)期工作的錯(cuò)覺。

研究人員說：“當(dāng)把這些技術(shù)作為一個(gè)整體考慮時(shí)，可以得出結(jié)論，攻擊者在短期和中期濫用（如被盜證書）既有機(jī)會(huì)主義因素，也有慣常的（最有可能的）自動(dòng)化過程，攻擊者的目標(biāo)是以不同的方式直觀地復(fù)制應(yīng)用程序?！?/span>