VirusTotal เผยแอปยอดฮิตที่แฮ็กเกอร์มักแอบอ้างเพื่อกระจายมัลแวร์

ผู้เชี่ยวชาญจาก VirusTotal ได้ออกมาเปิดเผยรายชื่อของแอปยอดนิยมที่คนร้ายมักใช้แอบอ้างเพื่อใช้แพร่กระจายมัลแวร์ให้เหยื่อ

credit : Wikimedia

กลเม็ดหลักๆที่คนร้ายใช้กันมี 3 วิธี

1.) ปลอมตัวเป็นแอปที่ถูกต้องโดยการแทนที่ไอคอนเหมือนแอปจริงเพื่อหลอกให้เหยื่อหลงเชื่อเข้าไปใช้ โดยจุดประสงค์ก็เพื่อ Bypass การดูแลจาก Firewall ที่พิจารณาเฉพาะไอพีและโดเมนบนอุปกรณ์ผ่านทางโดเมนที่ถูกเชื่อถือ

2.) ใช้ Certificate ที่ขโมยมาจาก Vendor เพื่อ Sign ให้มัลแวร์ของตน

3.) รวมตัวติดตั้งปกติเข้ากับมัลแวร์ให้ทำงานด้วยกัน

ผู้เชี่ยวชาญของ VirusTotal ยังฉายภาพให้เห็นโดเมนที่เกี่ยวข้องกับการแพร่กระจายไฟล์ต้องสงสัยจำนวนมากก็คือ 10% ของโดเมน Alexa ที่ได้รับความนิยม 1,000 ลำดับแรก ซึ่งกลเม็ดเช่นนี้จะช่วยให้หลีกเลี่ยงการถูกตรวจพบได้

สถิติอื่นที่น่าสนใจมีดังนี้

  • มัลแวร์มักเลียนแบบแสร้งว่าตนเป็นแอปที่ถูกต้องโดยแอปเป้าหมายยอดฮิต 3 อันดับแรกคือ Adobe Acrobat, VLC Media player และ Skype VoIP Platform
  • URLs ที่คนร้ายนิยมเลียนแบบเป็นแอปที่ถูกต้องคือ WhatsApp, Instagram, Facebook และ iCloud
  • ตั้งแต่มกราคมปี 2020 ทีมงานมักพบตัวติดตั้งจากโปรแกรมยอดฮิตอย่าง Zoom, Google Chrome, Proton VP, Brave และ Mozilla Firefox ในตัวอย่างที่เก็บมาได้กว่า 1,816 ตัว
  • ไอคอนของแอปยอดนิยมที่ถูกใช้เพื่ออำพรางตัวคือ TeamViewer, 7-Zip, CCleaner, Steam, Microsoft Edge, Zoom และ WhatsApp 
  • โดเมนที่ถูกใช้เพื่อทำกิจกรรมไม่พึงประสงค์คือ discordappcom, squarespacecom, amazonawscom, mediafirecom และ qqcom

และทั้งหมดนี่ก็คือเทคนิคการอำพรางตัวที่คนร้ายนิยมกันที่ VirusTotal พบครับ สำหรับผู้สนใจอ่านรายงานฉบับเต็มเข้าไปศึกษาได้ที่ https://blog.virustotal.com/2022/08/deception-at-scale.html 

ที่มา : https://www.hackread.com/virustotal-apps-exploited-hackers-spread-malware/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ผู้เชี่ยวชาญเผยเซิร์ฟเวอร์ VNC กว่า 9,000 ตัวออนไลน์โดยไร้รหัสผ่าน

ชาวแอดมินทั้งหลายคงรู้จักการใช้ VNC เพื่อรีโมตไปยังเครื่องภายในกันดีอยู่แล้ว แต่สิ่งที่น่ากังวลคือผู้เชี่ยวชาญจาก Cyble ได้สแกนเซิร์ฟเวอร์เหล่านี้ที่ออนไลน์อยู่ในอินเทอร์เน็ตและพบว่ามีเครื่องกว่า 9,000 ตัวที่ไร้การป้องกันด้วยรหัสผ่าน

Microsoft มอบเงินรางวัล 13.7 ล้านเหรียญสหรัฐฯ ให้กับ Bug Bounty Program

ในรอบปีที่ผ่านมา Microsoft มอบเงินรางวัลกว่า 13.7 ล้านเหรียญสหรัฐฯ ให้กับนักวิจัยจำนวน 335 คน ผ่าน Microsoft Bug Bounty Programs