ผู้เชี่ยวชาญจาก VirusTotal ได้ออกมาเปิดเผยรายชื่อของแอปยอดนิยมที่คนร้ายมักใช้แอบอ้างเพื่อใช้แพร่กระจายมัลแวร์ให้เหยื่อ
กลเม็ดหลักๆที่คนร้ายใช้กันมี 3 วิธี
1.) ปลอมตัวเป็นแอปที่ถูกต้องโดยการแทนที่ไอคอนเหมือนแอปจริงเพื่อหลอกให้เหยื่อหลงเชื่อเข้าไปใช้ โดยจุดประสงค์ก็เพื่อ Bypass การดูแลจาก Firewall ที่พิจารณาเฉพาะไอพีและโดเมนบนอุปกรณ์ผ่านทางโดเมนที่ถูกเชื่อถือ
2.) ใช้ Certificate ที่ขโมยมาจาก Vendor เพื่อ Sign ให้มัลแวร์ของตน
3.) รวมตัวติดตั้งปกติเข้ากับมัลแวร์ให้ทำงานด้วยกัน
ผู้เชี่ยวชาญของ VirusTotal ยังฉายภาพให้เห็นโดเมนที่เกี่ยวข้องกับการแพร่กระจายไฟล์ต้องสงสัยจำนวนมากก็คือ 10% ของโดเมน Alexa ที่ได้รับความนิยม 1,000 ลำดับแรก ซึ่งกลเม็ดเช่นนี้จะช่วยให้หลีกเลี่ยงการถูกตรวจพบได้
สถิติอื่นที่น่าสนใจมีดังนี้
- มัลแวร์มักเลียนแบบแสร้งว่าตนเป็นแอปที่ถูกต้องโดยแอปเป้าหมายยอดฮิต 3 อันดับแรกคือ Adobe Acrobat, VLC Media player และ Skype VoIP Platform
- URLs ที่คนร้ายนิยมเลียนแบบเป็นแอปที่ถูกต้องคือ WhatsApp, Instagram, Facebook และ iCloud
- ตั้งแต่มกราคมปี 2020 ทีมงานมักพบตัวติดตั้งจากโปรแกรมยอดฮิตอย่าง Zoom, Google Chrome, Proton VP, Brave และ Mozilla Firefox ในตัวอย่างที่เก็บมาได้กว่า 1,816 ตัว
- ไอคอนของแอปยอดนิยมที่ถูกใช้เพื่ออำพรางตัวคือ TeamViewer, 7-Zip, CCleaner, Steam, Microsoft Edge, Zoom และ WhatsApp
- โดเมนที่ถูกใช้เพื่อทำกิจกรรมไม่พึงประสงค์คือ discordappcom, squarespacecom, amazonawscom, mediafirecom และ qqcom
และทั้งหมดนี่ก็คือเทคนิคการอำพรางตัวที่คนร้ายนิยมกันที่ VirusTotal พบครับ สำหรับผู้สนใจอ่านรายงานฉบับเต็มเข้าไปศึกษาได้ที่ https://blog.virustotal.com/2022/08/deception-at-scale.html
ที่มา : https://www.hackread.com/virustotal-apps-exploited-hackers-spread-malware/