يقوم المهاجمون بتقليد التطبيقات المشروعة بشكل متزايد مثل Skype و Adobe Reader و VLC Player VirusTotal كشف عن معظم استخدام علاقات الثقة وزيادة احتمالية حدوث هجوم ناجح للهندسة الاجتماعية.
تشمل التطبيقات الشرعية الأخرى الأكثر انتحالًا من خلال الأيقونة 7-Zip و TeamViewer و CCleaner و Microsoft Edge و Steam و Zoom و WhatsApp. وقد كشف تحليل من VirusTotal.
وقالت VirusTotal في تقرير يوم الثلاثاء: “إحدى أبسط حيل الهندسة الاجتماعية التي رأيناها تتضمن جعل عينة من البرامج الضارة تبدو برنامجًا شرعيًا”. “رمز هذه البرامج هو سمة حاسمة تستخدم لإقناع الضحايا بأن هذه البرامج مشروعة”.
ليس من المستغرب أن يلجأ الفاعلون المهددون إلى مجموعة متنوعة من الأساليب للتغلب على نقاط النهاية من خلال خداع المستخدمين غير الراغبين في تنزيل وتشغيل ملفات تنفيذية تبدو غير ضارة.
يتم تحقيق ذلك. بدوره. بشكل أساسي من خلال الاستفادة من المجالات الأصلية في محاولة للالتفاف على دفاعات جدار الحماية القائمة على بروتوكول الإنترنت. بعض أهم المجالات التي يتم إساءة استخدامها هي discordapp [.] com و squarespace [.] com و amazonaws [.] com و mediafire [.] com و qq [.] com.
في المجموع. تم اكتشاف ما لا يقل عن 2.5 مليون ملف مشبوه تم تنزيله من 101 نطاقًا ينتمي إلى أفضل 1000 موقع إلكتروني لـ Alexa.
إساءة استخدام Discord
لقد تم توثيق إساءة استخدام Discord جيدًا. حيث أصبحت شبكة توصيل محتوى النظام الأساسي (CDN) أرضًا خصبة لاستضافة البرامج الضارة جنبًا إلى جنب مع Telegram. مع توفير “مركز اتصالات مثالي للمهاجمين”.
من الأساليب الأخرى المستخدمة كثيرًا هي ممارسة توقيع برامج ضارة بشهادات صالحة مسروقة من صانعي البرامج الآخرين. بينما. قالت خدمة فحص البرامج الضارة إنها عثرت على أكثر من مليون عينة ضارة منذ يناير 2021. 87٪ منها كان لها توقيع شرعي عندما تم تحميلها لأول مرة على قاعدة البيانات الخاصة بها.
كما. قالت VirusTotal إنها كشفت أيضًا عن 1816 عينة منذ يناير 2020 تنكرت كبرنامج شرعي من خلال حزم البرامج الضارة في أدوات التثبيت لبرامج أخرى شهيرة مثل Google Chrome و Malwarebytes و Zoom و Brave و Mozilla Firefox و Proton VPN.
بينما. يمكن أن تؤدي طريقة التوزيع هذه أيضًا إلى هجوم على سلسلة التوريد عندما يتمكن الأعداء من اختراق خادم تحديث برنامج شرعي أو الحصول على وصول غير مصرح به إلى شفرة المصدر. مما يجعل من الممكن التسلل إلى البرامج الضارة في شكل ثنائيات طروادة.
بدلاً من ذلك. يتم حزم المثبتات الشرعية في ملفات مضغوطة إلى جانب الملفات التي تحتوي على برامج ضارة. كما. في حالة واحدة بما في ذلك مثبت Proton VPN الشرعي والبرامج الضارة التي تقوم بتثبيت Jigsaw ransomware.
هذا ليس كل شئ. الطريقة الثالثة. وإن كانت أكثر تعقيدًا. تستلزم دمج المثبت الشرعي كمورد محمول قابل للتنفيذ في العينة الضارة بحيث يتم تنفيذ المثبت أيضًا عند تشغيل البرنامج الضار لإعطاء وهم بأن البرنامج يعمل على النحو المنشود.
كذالك عند التفكير في هذه الأساليب ككل. يمكن للمرء أن يستنتج أن هناك عوامل انتهازية للمهاجمين لإساءة استخدام (مثل الشهادات المسروقة) على المدى القصير والمتوسط. والإجراءات الآلية بشكل روتيني (على الأرجح) حيث يهدف المهاجمون إلى تكرارها بشكل مرئي التطبيقات بطرق مختلفة “.