Domínios falsos do Skype, Adobe Acrobat, VLC e mesmo as redes sociais WhatsApp, Instagram e Amazon são utilizados de forma ilícito. “Identificámos as diferentes formas que os invasores utilizam para abusar dessa confiança implícita”, revela uma plataforma da Google.
Os hackers estão cada vez mais sofisticados nas cópias para enganar os cibernautas e disseminar software malicioso, conforme concluiu um novo relatório da VirusTotal, uma plataforma detida pela Google Cloud com informações sobre malware. A análise “Deception at scale: How malware abuses trust” reitera agora que mais domínios populares, como o “.pt”, são utilizados por organizações legítimas para distribuição de malware.
A VirusTotal, que nos últimos 16 anos processou mais de dois milhões de arquivos por dia em 232 países, apercebeu-se de que houve um acréscimo contínuo no número de malware que imita visualmente aplicações legítimas, como o Skype, i Adobe Acrobat, a VLC e mesmo as redes sociais WhatsApp, Instagram e Amazon. “Identificámos as diferentes formas que os invasores utilizam para abusar dessa confiança implícita, incluindo imitar aplicações legítimas, recorrer a canais de distribuição legítimos para o malware e assinar os seus modelos”, explica a empresa.
Segundo os especialistas, esta técnica “dá diferentes vantagens, como evitar defesas e alertas tradicionais de perímetro (entre os quais firewalls baseados em domínio/IP); evitar o uso da infraestrutura dedicada que pode ser desmontada ou atribuída a um determinado agente; abusar de hosts com recursos e alta disponibilidade para os seus malwares; e, até certo ponto, parecer menos suspeito para a sua vítima final”.
O relatório revela ainda que o malware com chaves de assinatura furtadas acontece com maior frequência do que seria expectável, enquanto o malware a executar instaladores legítimos, ou empacotando-os no mesmo ficheiro compactado dentro da amostra de malware, é uma tendência constante e ligeiramente crescente, embora menos expressiva.
Ao explorar a base de dados da VirusTotal, os peritos descobriram que desde 2021 mais de um milhão de samples assinadas foram consideradas suspeitas (com mais de 15% dos antivírus a detetá-las como maliciosas), contudo nem todas tinham uma assinatura válida quando foram criadas, uma vez que os piratas reutilizaram certificados antigos (sem validade) ou inválidos. Aliás, 13% das mesmas não tinham uma assinatura válida quando foram carregadas pela primeira vez na plataforma.
“Os ataques à cadeia de abastecimento são preocupantes, por um bom motivo. As múltiplas técnicas analisadas neste relatório podem ter um impacto semelhante nas defesas da vítima. Embora possam parecer menos sofisticados do que outras formas de ataque cibernético, eles podem ser um fator diferenciador para ter sucesso em um ataque de engenharia social ou ignorar muitas medidas de segurança existentes usadas pelos defensores”, concluíram os peritos, no mesmo documento.
