VirusTotal เผยแอปยอดฮิตที่แฮ็กเกอร์มักแอบอ้างเพื่อกระจายมัลแวร์

ผู้เชี่ยวชาญจาก VirusTotal ได้ออกมาเปิดเผยรายชื่อของแอปยอดนิยมที่คนร้ายมักใช้แอบอ้างเพื่อใช้แพร่กระจายมัลแวร์ให้เหยื่อ

credit : Wikimedia

กลเม็ดหลักๆที่คนร้ายใช้กันมี 3 วิธี

1.) ปลอมตัวเป็นแอปที่ถูกต้องโดยการแทนที่ไอคอนเหมือนแอปจริงเพื่อหลอกให้เหยื่อหลงเชื่อเข้าไปใช้ โดยจุดประสงค์ก็เพื่อ Bypass การดูแลจาก Firewall ที่พิจารณาเฉพาะไอพีและโดเมนบนอุปกรณ์ผ่านทางโดเมนที่ถูกเชื่อถือ

2.) ใช้ Certificate ที่ขโมยมาจาก Vendor เพื่อ Sign ให้มัลแวร์ของตน

3.) รวมตัวติดตั้งปกติเข้ากับมัลแวร์ให้ทำงานด้วยกัน

ผู้เชี่ยวชาญของ VirusTotal ยังฉายภาพให้เห็นโดเมนที่เกี่ยวข้องกับการแพร่กระจายไฟล์ต้องสงสัยจำนวนมากก็คือ 10% ของโดเมน Alexa ที่ได้รับความนิยม 1,000 ลำดับแรก ซึ่งกลเม็ดเช่นนี้จะช่วยให้หลีกเลี่ยงการถูกตรวจพบได้

สถิติอื่นที่น่าสนใจมีดังนี้

  • มัลแวร์มักเลียนแบบแสร้งว่าตนเป็นแอปที่ถูกต้องโดยแอปเป้าหมายยอดฮิต 3 อันดับแรกคือ Adobe Acrobat, VLC Media player และ Skype VoIP Platform
  • URLs ที่คนร้ายนิยมเลียนแบบเป็นแอปที่ถูกต้องคือ WhatsApp, Instagram, Facebook และ iCloud
  • ตั้งแต่มกราคมปี 2020 ทีมงานมักพบตัวติดตั้งจากโปรแกรมยอดฮิตอย่าง Zoom, Google Chrome, Proton VP, Brave และ Mozilla Firefox ในตัวอย่างที่เก็บมาได้กว่า 1,816 ตัว
  • ไอคอนของแอปยอดนิยมที่ถูกใช้เพื่ออำพรางตัวคือ TeamViewer, 7-Zip, CCleaner, Steam, Microsoft Edge, Zoom และ WhatsApp 
  • โดเมนที่ถูกใช้เพื่อทำกิจกรรมไม่พึงประสงค์คือ discordappcom, squarespacecom, amazonawscom, mediafirecom และ qqcom

และทั้งหมดนี่ก็คือเทคนิคการอำพรางตัวที่คนร้ายนิยมกันที่ VirusTotal พบครับ สำหรับผู้สนใจอ่านรายงานฉบับเต็มเข้าไปศึกษาได้ที่ https://blog.virustotal.com/2022/08/deception-at-scale.html 

ที่มา : https://www.hackread.com/virustotal-apps-exploited-hackers-spread-malware/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เจาะลึกเครื่องมือการโจมตีแบบร้ายแรง Web DDoS “MegaMedusa” โดยกลุ่มก่อการร้ายทางโลกไซเบอร์ “RipperSec”

RipperSec เป็นกลุ่มนักเคลื่อนไหวจากมาเลเซียหรือที่ถูกจัดประเภทว่าเป็นแฮ็กเกอร์ประเภท Hacktivism ทั้งนี้มีแรงจูงใจมาจากความขัดแย้งระหว่างอิสลาเอลและชาติมุสลิม โดยคนร้ายมีการใช้เครื่องมือเพื่อทำ We DDoS ที่ชื่อว่า MegaMedusa โดยในบทความนี้ Radware จะชวนทุกท่านมาติดตามการดำเนินงานและกลยุทธ์ของเครื่องมือดังกล่าว โดยมีหัวข้อที่น่าสนใจดังนี้

GitLab แก้ไขช่องโหว่ความรุนแรงสูงในการยืนยันตัวตนแบบ SAML

GitLab ออกอัปเดตความปลอดภัยแก้ไขช่องโหว่ความรุนแรงสูงในการยืนยันตัวตนแบบ SAML ที่ส่งผลกระทบต่อ GitLab Community Edition (CE) และ Enterprise Edition (EE) แบบ self-managed