سایت VirusTotal، بر اساس فهرست هزار سایت محبوب و برتر (Alexa top ۱۰۰۰ websites) و از میان ۱۰۱ دامنه متعلق به این سایتها، دو ونیم میلیون فایل مشکوک دانلود شده را شناسایی کرده است. قابلتوجهترین موردی که از آن بیشترین سوءاستفاده صورت گرفته، برنامه Discord است که به کانون توزیع بدافزار تبدیل شده است. پس از آن سرویسدهنده میزبانی کننده سرورها و خدمات ابری Squarespace و Amazon در رتبههای بعدی قرار دارند.
در نهایت، ترفند دیگر توزیع کنندگان بدافزار، پنهان کردن بدافزار در فایلهای نصب برنامههای معتبر و اجرای پروسه هک در پسزمینه (Background) است، درحالیکه برنامههای واقعی در پیشزمینه (Foreground) در حال اجرا هستند.
کارشناسان مرکز مدیریت راهبردی افتا می گویند: هنگامی که به دنبال دانلود نرمافزار هستید، یا از فروشگاه موجود در سیستمعامل خود استفاده کنید یا آن را از صفحه دانلود رسمی برنامه، دریافت کنید.
برنامه محبوب بهینهسازی Windows به نام CCleaner که اخیراً در کارزاری مورد بهرهجویی قرار گرفته نیز یکی از گزینههای محبوب هکرها است و نسبتاً آلودگی و توزیع فوقالعادهای را به دنبال داشته است.
استفاده از گواهینامههای معتبر سرقت شده
در میان تمام نمونههای مخرب آپلود شده در VirusTotal در بازه زمانی یادشده، بیش از یک میلیون مورد امضا شده و ۸۷٪ از آنها از یک گواهینامه معتبر استفاده کردهاند. گواهینامههای رایج بکار گرفته شده در امضای نمونههای مخرب ارسال شده به سایت یادشده عبارتاند از Sectigo، DigiCert، USERTrust و Sage South Africa.
در نهایت، از بهکارگیری نسخههای کرک شده، نرمافزارهای قفلشکسته و غیرمجاز خودداری کنید، زیرا معمولاً به انتقال بدافزار منجر میشوند.
منبع خبر
این تکنیک ضمن فریب قربانیان منجر به بیاثر شدن برخی موتورهای ضدویروس میشود که ساختار و محتوای فایلهای اجرایی را بررسی نمیکنند.
مخفی کردن یک بدافزار قابلاجرا در قالب یک برنامه کاربردی معتبر و محبوب در سال ۲۰۲۲ روند صعودی داشته است.
به گفته کارشناسان مرکز مدیریت راهبردی افتا، هر کاربر موظف است، پس از دانلود یک فایل نصبکننده نرمافزار و همیشه قبل از اجرای فایل، یک پویش ضدویروس بر روی آن انجام دهید تا مطمئن شوند که حاوی بدافزار نیست.
توزیع بدافزار از طریق سایتهای معتبر، محبوب و با رتبه بالا به مهاجمان این امکان را میدهد تا فهرستهای مسدود شده مبتنی بر IP را دور بزنند، همواره در دسترس باشند و سطح اعتماد بیشتری را جلب کنند.
مخفی شدن در قالب نرمافزارهای معتبر و محبوب
قربانیان با تصور اینکه برنامههای موردنیاز خود را دریافت میکنند، این فایلها را دانلود کرده، اما با اجرای فایلهای نصبکننده نرمافزار، سیستمهای خود را به بدافزار آلوده میکنند. برنامههای کاربردی که مهاجمان بیشترین سوءاستفاده را از آنها کردهاند اغلب دارای نشان (Icon) مربوط به محصولات Skype، Adobe Acrobat، VLC و ۷zip هستند.
بر اساس آمار سایت VirusTotal، به نظر میرسد که این روش امسال نیز در حال افزایش است و از Google Chrome، Malwarebytes، Windows Updates، Zoom، Brave، Firefox، ProtonVPN و Telegram بهعنوان طعمه استفاده میکنند.
کاربران می توانند برای شناسایی بدافزارها از سایت (VirusTotal )، سایت پویش و تحلیل بدافزار استفاده کنند که هر فایل ارسالی از سوی کاربران را در اکثر ضدویروسهای مطرح بررسی کرده و گزارش شناسایی یا عدم شناسایی آنها را در اختیار کاربر قرار میدهد، این سایت در بازه زمانی ۱۲ دی ۱۳۹۹ تا ۱۰ تیر ۱۴۰۱، روزانه دو میلیون فایل ارسالی کاربران را تحلیل کرده است.
امضای نمونههای بدافزاری با گواهینامههای معتبر سرقت شده، روشی دیگر برای فرار از تشخیص توسط ضدویروسها و هشدارهای صادر شده از سوی راهکارهای امنیتی است.
