常用于恶意软件攻击,攻击者越来越多地模仿Skype、AdobeReader和VLCPlayer等应用程序来滥用用户的信任,从而增加成功进行社会工程攻击的可能性。VirusTotal的一项分析显示,大多数其他被图标冒充的合法应用程序包括7-Zip、TeamViewer、CCleaner、MicrosoftEdge、Steam、Zoom和WhatsApp。“我们见过的最简单的社会工程技术之一是让恶意软件样本看起来是合法程序,”VirusTotal在周二的一份报告中说。“这些程序的图标被用来让受害者相信这些程序是合法的。”一个关键角色。”毫不奇怪,攻击者采用各种方法通过诱使毫无戒心的用户下载和运行看似无害的可执行文件来破坏客户端。反过来,这主要是通过利用真实域绕过基于IP的防火墙防御来实现的。一些最常被滥用的域名是discordapp[.]com、squarespace[.]com、amazonaws[.]com、mediafire[.]com和qq[.]com。总共检测到从属于AlexaTop1000网站的101个域下载的不少于250万个可疑文件。Discord的滥用已得到充分记录,该平台的内容分发网络(CDN)成为与Telegram一起托管恶意软件的沃土,同时还为“攻击者提供了完美的通信中心”。另一种经常使用的技术是使用从其他软件制造商窃取的有效证书对恶意软件进行签名的做法。该恶意软件扫描服务表示,自2021年1月以来,它发现了超过100万个恶意样本,其中87%在首次上传到其数据库时具有合法签名。VirusTotal表示,自2020年1月以来,它还发现了1,816个样本,它们将恶意软件打包到其他流行软件(例如GoogleChrome、Malwarebytes、Zoom、Brave、MozillaFirefox和ProtonVPN)的安装程序中,伪装成合法软件。当攻击者设法闯入合法软件的更新服务器或获得对源代码的未授权访问时,这种分发方法还可能导致供应链下游,可能以特洛伊木马化二进制文件的形式潜入恶意软件。或者,一个合法的安装程序与带有恶意软件的文件一起打包在一个压缩文件中,在一个案例中包括一个合法的ProtonVPN安装程序和安装了Jigsaw勒索软件的恶意软件。那不是全部。第三种方法虽然更复杂,但需要将合法的安装程序作为可移植的可执行资源合并到恶意样本中,这样当恶意软件运行时,安装程??序也会被执行,从而给人一种软件正常运行的错觉。研究人员说:“当将这些技术作为一个整体来考虑时,可以得出结论,攻击者的短期和中期滥用(例如被盗证书)既有机会主义因素,也有例行(最有可能)的自动化过程。”,攻击者的目标是以不同的方式在视觉上复制应用程序。”
