Noticias

Los piratas informáticos imitan estas aplicaciones principalmente para propagar malware

VirusTotal de Google ha revelado que Adobe Reader, skypey reproductor VLC entre los principales software utilizados por los ciberdelincuentes y los actores de amenazas para abusar con éxito de las relaciones de confianza y llevar a cabo ataques de ingeniería social.

Además de estas, existen otras aplicaciones legítimas que en su mayoría son suplantadas por piratas informáticos y otros ciberdelincuentes con íconos. 7 cremalleras, TeamViewer, CClimpiador, Borde de Microsoft, Vapor, Zoomy WhatsApp.

«Uno de los trucos de ingeniería social más simples que hemos visto es hacer que una muestra de malware parezca un programa legítimo», VirusTotal dijo en una entrada de blog el martes. «El ícono de estos programas es un elemento crítico que se utiliza para convencer a las víctimas de que estos programas son legítimos».

En sus estudios de malware, los investigadores de VirusTotal descubrieron que los ciberdelincuentes utilizan múltiples enfoques para engañar a los usuarios desprevenidos para que descarguen y ejecuten ejecutables aparentemente inofensivos.

Esta es una técnica común mediante la cual los atacantes usan dominios legítimos para la distribución de malware. El objetivo detrás de esta nueva estrategia maliciosa es explotar dominios reales para tratar de evadir soluciones de seguridad como IP o firewalls basados ​​en dominios en dispositivos y propagar malware a través de dominios confiables.

Algunos de los dominios más explotados son discordapp[.]com, espacio cuadrado[.]com, amazonas[.]com, medios de comunicación[.]com y qq[.]com. Por ejemplo, se descubrió que se habían descargado 2,5 millones de archivos sospechosos de 101 dominios pertenecientes a los 1000 sitios web principales de Alexa.

Otro método de ataque comúnmente utilizado por los actores de amenazas es robar certificados de firma legítimos de proveedores de software y usarlos para firmar su malware, haciéndolos parecer como si vinieran de fabricantes de software legítimos. Según un informe, del millón de muestras maliciosas recibidas desde enero de 2021, el 87 % tenía una firma válida cuando se cargaron por primera vez en su base de datos.

En particular, casi el 13% de estas muestras no tenían una firma válida cuando se cargaron por primera vez en VirusTotal. Además, más del 99 % de estos archivos de firma eran archivos ejecutables o DLL de Windows.

VirusTotal dijo que también descubrió 1.816 muestras desde enero de 2020 que demostraron ser software legítimo con instaladores reales para software popular como Google Chrome, Malwarebytes, Zoom, Brave, Mozilla Firefox y Proton VPN.

«En algunos casos, como los ataques a la cadena de suministro, los atacantes pueden robar o comprometer la infraestructura legítima, el código fuente o los certificados utilizados para firmar aplicaciones legítimas», dijo Vicente. Diaz, ingeniero de seguridad en VirusTotal, una unidad de Google Cloud.

Esto se convierte en una preocupación cuando los atacantes comienzan a robar credenciales legítimas y crean aplicaciones o infraestructura legítimas para aumentar su éxito al atacar a una víctima.

Finalmente, un tercer método de ataque es integrar instaladores legítimos como un ejecutable portátil en las muestras maliciosas para ejecutar el instalador cuando se ejecuta malware.

«Considerando estas técnicas en su conjunto, se podría concluir que existen factores oportunistas en los que los atacantes podrían hacer un mal uso de ellas (como certificados robados) a corto y mediano plazo, y que los procedimientos regulares (probablemente) automatizados en los que los atacantes pretenden replicar visualmente a ellos. aplicaciones de diferentes maneras”, los investigadores dijo.

«Aunque menos sofisticado, el efecto agregado de estas técnicas puede resultar en un mayor impacto agregado que los ataques más complejos pero menos voluminosos».

HackNarrow

Informático de profesión, me dedico a probar nuevas versiones de hardware y verificar la seguridad e integridad de servidores y firewalls. Escribo un poco sobre novedades en la rama de la seguridad informática en general.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
error: Content is protected !!