Одним из основных методов, используемых распространителями вредоносных программ для заражения устройств, является обман людей, чтобы они загружали и запускали вредоносные файлы, и для достижения этого обмана авторы вредоносных программ используют различные уловки.
Некоторые из этих трюков включают маскировку исполняемых файлов вредоносных программ под законные приложения, их подписание действительными сертификатами или компрометацию надежных сайтов для их использования в качестве точек распространения.
Согласно VirusTotal, платформе безопасности для сканирования загруженных файлов на наличие вредоносных программ, некоторые из этих уловок злоумышленники проворачивают в гораздо большем масштабе, чем первоначально предполагалось.
Платформа VT составила отчет, представляющий статистику с января 2021 года по июль 2022 года, основанный на ежедневной отправке двух миллионов файлов, иллюстрирующих тенденции распространения вредоносных программ.
Злоупотребление легальными доменами
Распространение вредоносного ПО через легальные, популярные и высокорейтинговые веб-сайты позволяет злоумышленникам уклоняться от черных списков на основе IP-адресов, пользоваться широкой доступностью и обеспечивать наивысший уровень доверия.
VirusTotal обнаружил 2,5 миллиона подозрительных файлов, загруженных со 101 домена, входящих в 1000 лучших веб-сайтов по рейтингу Alexa.
Наиболее заметным случаем злоупотребления является сервис Discord, который стал, просто, настоящим рассадником распространения вредоносных программ. За ним, поспешая, в рейтинге следуют хостинг-сервисы и поставщики облачных услуг Squarespace и Amazon.
Использование украденных сертификатов
Подписание образцов вредоносных программ действительными сертификатами, украденными у компаний, является надежным способом избежать обнаружения AV и предупреждений безопасности на хосте.
Из всех вредоносных образцов, загруженных в VirusTotal в период с января 2021 года по апрель 2022 года, было подписано более миллиона, и 87% использовали действительный сертификат.
Наиболее распространенными центрами сертификации, которые используются для подписи вредоносных образцов, отправленных в VirusTotal, являются Sectigo, DigiCert, USERTrust и Sage South Africa.
Замаскированное под популярное ПО
В тренде 2022 года также маскировка исполняемого вредоносного ПО под легальное, популярное приложение.
Жертвы загружают эти файлы, думая, что они получают необходимые приложения, но после запуска установщиков они заражают свои системы вредоносным ПО.
Наиболее имитируемыми приложениями (по ярлыку) являются Skype, Adobe Acrobat, VLC и 7zip.
Маскировка под популярную программу оптимизации Windows CCleaner — одна из любимых уловок хакеров и она имеет исключительно высокий коэффициент заражения для своего объема распространения.
Маскировка под .exe
Наконец, уловка скрытия вредоносного ПО внутри легальных установщиков приложений и запуска процесса заражения в фоновом режиме, в то время как реальные приложения выполняются на переднем плане.
Этот процесс помогает обмануть жертв, а также уклоняется от некоторых антивирусных движков, которые не проверяют структуру PR-ресурсов и контент в исполняемых файлах.
Основываясь на статистике VirusTotal, эта практика также, по-видимому, растет в этом году, используя Google Chrome, Malwarebytes, Windows Updates, Zoom, Brave, Firefox, ProtonVPN и Telegram в качестве приманки.
Как оставаться в безопасности
При загрузке программного обеспечения либо использует встроенный магазин приложений вашей ОС, либо посетите официальную страницу загрузки приложения. Кроме того, остерегайтесь продвигаемых объявлений в результатах поиска, которые могут иметь более высокий рейтинг, поскольку их можно легко подделать, чтобы они выглядели как легальные сайты.
После загрузки установщика с неизвестного сайта всегда выполняйте AV-сканирование файла перед его выполнением, чтобы убедиться, что они не являются замаскированными вредоносными программами.
Чаще всего распространение зловредов, замаскированных под легальное ПО, происходит через торрент-сайты. Спрос на «ломанное» программное обеспечение на таких ресурсах позволяет злоумышленникам без особого труда внедрить малварь, замаскированную под какой-нибудь PhotoShop-Super-Edition, в систему, ничего неподозревающего юзера...
