?攻擊者越來越多地模仿 Skype、Adobe Reader 和 VLC Player 等應(yīng)用程序來濫用用戶的信任來增加社會工程攻擊成功的可能性。

VirusTotal 的一項分析顯示，其他大多數(shù)通過圖標(biāo)模擬的合法應(yīng)用程序包括 7-Zip、TeamViewer、CCleaner、Microsoft Edge、Steam、Zoom 和 WhatsApp。

VirusTotal在周二的一份報告中說：“我們見過的最簡單的社會工程技巧之一就是讓惡意軟件樣本看起來是合法的程序。這些程序的圖標(biāo)是用來說服受害者這些程序是合法的一個關(guān)鍵作用。”

毫不奇怪，攻擊者采用各種方法通過誘使不知情的用戶下載和運(yùn)行看似無害的可執(zhí)行文件來破壞客戶端。

反過來，這主要是利用真正的域來繞過基于 IP 的防火墻防御來實現(xiàn)的。一些最常被濫用的域名是 discordapp[.]com、squarespace[.]com、amazonaws[.]com、mediafire[.]com 和 qq[.]com。

總共檢測到不少于 250 萬個從屬于 Alexa 前 1000 個網(wǎng)站的 101 個域下載的可疑文件。

Discord 的濫用已得到充分證明，該平臺的內(nèi)容交付網(wǎng)絡(luò) (CDN) 成為與 Telegram 一起托管惡意軟件的沃土，同時還為“攻擊者提供了完美的通信中心”。

另一種經(jīng)常使用的技術(shù)是使用從其他軟件制造商那里竊取的有效證書對惡意軟件進(jìn)行簽名的做法。該惡意軟件掃描服務(wù)表示，自 2021 年 1 月以來，它發(fā)現(xiàn)了超過一百萬個惡意樣本，其中 87% 的惡意樣本在首次上傳到其數(shù)據(jù)庫時具有合法簽名。

VirusTotal 表示，自 2020 年 1 月以來，它還發(fā)現(xiàn)了 1,816 個樣本，這些樣本通過將惡意軟件打包在其他流行軟件（如 Google Chrome、Malwarebytes、Zoom、Brave、Mozilla Firefox 和 Proton VPN）的安裝程序中，偽裝成合法軟件。

當(dāng)攻擊者設(shè)法闖入合法軟件的更新服務(wù)器或未經(jīng)授權(quán)訪問源代碼時，這種分發(fā)方法也可能導(dǎo)致供應(yīng)鏈，從而有可能以木馬二進(jìn)制文件的形式潛入惡意軟件。

或者，合法的安裝程序與帶有惡意軟件的文件一起打包在壓縮文件中，在一種情況下，包括合法的 Proton VPN 安裝程序和安裝 Jigsaw 勒索軟件的惡意軟件。

那不是全部。第三種方法雖然更復(fù)雜，但需要將合法安裝程序作為可移植可執(zhí)行資源合并到惡意樣本中，以便在運(yùn)行惡意軟件時也執(zhí)行安裝程序，從而產(chǎn)生軟件按預(yù)期工作的錯覺。

研究人員說：“當(dāng)把這些技術(shù)作為一個整體考慮時，可以得出結(jié)論，攻擊者在短期和中期濫用（如被盜證書）既有機(jī)會主義因素，也有慣常的（最有可能的）自動化過程，攻擊者的目標(biāo)是以不同的方式直觀地復(fù)制應(yīng)用程序。”