VirusTotal เผยแอปยอดฮิตที่แฮ็กเกอร์มักแอบอ้างเพื่อกระจายมัลแวร์

ผู้เชี่ยวชาญจาก VirusTotal ได้ออกมาเปิดเผยรายชื่อของแอปยอดนิยมที่คนร้ายมักใช้แอบอ้างเพื่อใช้แพร่กระจายมัลแวร์ให้เหยื่อ

กลเม็ดหลักๆที่คนร้ายใช้กันมี 3 วิธี

1.) ปลอมตัวเป็นแอปที่ถูกต้องโดยการแทนที่ไอคอนเหมือนแอปจริงเพื่อหลอกให้เหยื่อหลงเชื่อเข้าไปใช้ โดยจุดประสงค์ก็เพื่อ Bypass การดูแลจาก Firewall ที่พิจารณาเฉพาะไอพีและโดเมนบนอุปกรณ์ผ่านทางโดเมนที่ถูกเชื่อถือ

2.) ใช้ Certificate ที่ขโมยมาจาก Vendor เพื่อ Sign ให้มัลแวร์ของตน

3.) รวมตัวติดตั้งปกติเข้ากับมัลแวร์ให้ทำงานด้วยกัน

ผู้เชี่ยวชาญของ VirusTotal ยังฉายภาพให้เห็นโดเมนที่เกี่ยวข้องกับการแพร่กระจายไฟล์ต้องสงสัยจำนวนมากก็คือ 10% ของโดเมน Alexa ที่ได้รับความนิยม 1,000 ลำดับแรก ซึ่งกลเม็ดเช่นนี้จะช่วยให้หลีกเลี่ยงการถูกตรวจพบได้

สถิติอื่นที่น่าสนใจมีดังนี้

• มัลแวร์มักเลียนแบบแสร้งว่าตนเป็นแอปที่ถูกต้องโดยแอปเป้าหมายยอดฮิต 3 อันดับแรกคือ Adobe Acrobat, VLC Media player และ Skype VoIP Platform
• URLs ที่คนร้ายนิยมเลียนแบบเป็นแอปที่ถูกต้องคือ WhatsApp, Instagram, Facebook และ iCloud
• ตั้งแต่มกราคมปี 2020 ทีมงานมักพบตัวติดตั้งจากโปรแกรมยอดฮิตอย่าง Zoom, Google Chrome, Proton VP, Brave และ Mozilla Firefox ในตัวอย่างที่เก็บมาได้กว่า 1,816 ตัว
• ไอคอนของแอปยอดนิยมที่ถูกใช้เพื่ออำพรางตัวคือ TeamViewer, 7-Zip, CCleaner, Steam, Microsoft Edge, Zoom และ WhatsApp 
• โดเมนที่ถูกใช้เพื่อทำกิจกรรมไม่พึงประสงค์คือ discordappcom, squarespacecom, amazonawscom, mediafirecom และ qqcom

และทั้งหมดนี่ก็คือเทคนิคการอำพรางตัวที่คนร้ายนิยมกันที่ VirusTotal พบครับ สำหรับผู้สนใจอ่านรายงานฉบับเต็มเข้าไปศึกษาได้ที่ https://blog.virustotal.com/2022/08/deception-at-scale.html 

ที่มา : https://www.hackread.com/virustotal-apps-exploited-hackers-spread-malware/