Actores de amenazas imitan aplicaciones legítimas, usan certificados robados para propagar malware



Un estudio de malware enviado a VirusTotal muestra que los ciberdelincuentes y otros actores de amenazas están implementando una variedad de enfoques de abuso de confianza para propagar malware y esquivar las defensas tradicionales, a menudo explotando la confianza implícita entre un proveedor de application de confianza y el usuario.

El equipo de investigación de VirusTotal de Google Cloud descubrió métodos populares, incluido el uso de canales de distribución legítimos para distribuir malware e imitar aplicaciones legítimas. Al distribuir malware a través de dominios legítimos, el malware a menudo puede pasar a través de las defensas perimetrales tradicionales, incluidos los firewalls basados ​​en dominios o IP: el informe dice que el 10 % de los 1000 principales dominios de Alexa han distribuido muestras sospechosas.

En whole, Google encontró más de 2 millones de archivos sospechosos descargados de dominios legítimos de Alexa, incluidos los dominios que se usan regularmente para la distribución de archivos. Otro vector de ataque es el robo de certificados de firma legítimos de fabricantes de program legítimos, que luego se utilizan para firmar el malware. Desde 2021, más de 1 millón de muestras firmadas se consideraron sospechosas, según un nuevo informe del equipo de Google.

Incluso cuando varias muestras usaban certificados inválidos o revocados, las víctimas a menudo no podían confirmar la validez de los certificados. Casi el 13 % de las muestras no tenían una firma válida cuando se cargaron por primera vez en VirusTotal, y más del 99 % de ellas eran archivos ejecutables o DLL de Windows Moveable, según el informe.

«Nos sorprendió la cantidad de muestras de malware firmadas que encontramos, muchas de las cuales parecían válidas en el momento del análisis», dice Vicente Diaz, ingeniero de seguridad de VirusTotal. «Desafortunadamente, el proceso de verificar si un archivo firmado es válido no es trivial y puede ser abusado por malware para evitar diferentes medidas de seguridad o, una vez más, abusar de la confianza de la víctima».

Esto es especialmente preocupante en el caso de que los atacantes roben certificados legítimos, lo que potencialmente crea un escenario perfecto para los ataques a la cadena de suministro. Los atacantes implementan cada vez más malware disfrazado de program legítimo, un éxito básico de la ingeniería social que está cobrando fuerza. Al usar este método, el ícono de la aplicación, reconocido y aceptado por la víctima, se united states of america para convencerla de que la aplicación es legítima.

«La mayoría de las veces, vimos que los atacantes abusaban de esta técnica en ataques relativamente simples, con el software legítimo como señuelo para la víctima», dice Díaz. «En otras palabras, esto significa instalar tanto el malware como el software que la víctima pensó que estaba instalando legítimamente».

Explica que a pesar de su simplicidad, esta técnica aún puede ser efectiva y evitar dar la alarma a la víctima. «También creemos que esta podría ser una tendencia creciente, ya que algunos canales parecen estar ganando popularidad como vectores de distribución de malware, incluida la distribución de software package pirateado y similares, lo que constituye un escenario perfecto para este tipo de ataques», dice Díaz.

La well-known plataforma de VoIP Skype, Adobe Acrobat y el reproductor multimedia VLC se encuentran entre los tres íconos de aplicaciones más reflejados, según el informe. «Adobe Acrobat, Skype y 7zip son muy populares y tienen la tasa de infección más alta, lo que probablemente las convierte en las tres principales aplicaciones e íconos a tener en cuenta desde una perspectiva de ingeniería social», señala el informe.

Díaz dice que no está claro por qué los atacantes eligen ese software, aparte de su popularidad. «Eso también podría ser circunstancial basado en campañas específicas que aprovechan estas aplicaciones», dice. «Creemos que los atacantes rotan regularmente el software package reflejado en función de la popularidad, las campañas u otras circunstancias, y estaremos monitoreando su evolución futura».

El equipo de VirusTotal realizó un análisis identical en las URL utilizando la similitud de íconos de sitios internet y encontró que WhatsApp, Facebook, Instagram e iCloud son los cuatro sitios world-wide-web más abusados ​​por varias URL diferentes sospechosas de ser maliciosas. Teniendo en cuenta la creciente tendencia de imitar visualmente las aplicaciones legítimas, el equipo de investigación dice que planea un análisis continuo de las aplicaciones más frecuentemente atacadas.

Pasar por alto la conciencia de seguridad

Díaz explica que el abuso de estos recursos legítimos parece ser un esfuerzo de los atacantes por anular lo que se les ha enseñado a los usuarios, como verificar que un dominio vinculado sea legítimo, asegurarse de que lo que está instalando tenga el ícono esperado y que el ejecutable esté firmado. .

«Parece una tendencia purely natural a eludir algunas precauciones básicas del usuario y algunas medidas de seguridad simples, como el bloqueo de algunos dominios», dice. «No creo necesariamente que los atacantes cambien mucho sus tácticas, simplemente están ajustando sus defensas y canales de distribución en consecuencia».

Agrega que es interesante notar el aumento de atacantes que abusan de los canales de distribución legítimos y los principales dominios utilizando contenido encriptado o artefactos de múltiples componentes que son difíciles de identificar como maliciosos por sí mismos.



Enlace a la noticia unique