idNSA.id - Pelaku kejahatan meniru aplikasi yang sah seperti
Skype, Adobe Reader, dan VLC Player sebagai sarana untuk menyalahgunakan kepercayaan
dan meningkatkan kemungkinan serangan rekayasa sosial yang berhasil.
Aplikasi sah lainnya yang paling banyak ditiru oleh ikon
termasuk 7-Zip, TeamViewer, CCleaner, Microsoft Edge, Steam, Zoom, dan
WhatsApp, sebuah analisis dari VirusTotal.
"Salah satu trik rekayasa sosial paling sederhana yang
pernah dilihat adalah melibatkan membuat sampel malware tampak sebagai program
yang sah," kata VirusTotal dalam laporan Selasa. "Ikon program ini
adalah fitur penting yang digunakan untuk meyakinkan korban bahwa program ini
sah."
Tidak mengherankan bahwa pelaku menggunakan berbagai
pendekatan untuk mengkompromikan endpoint dengan mengelabui pengguna tanpa
disadari agar mengunduh dan menjalankan executable yang tampaknya tidak
berbahaya.
Pada gilirannya dengan memanfaatkan domain asli dalam upaya
untuk mengatasi pertahanan firewall berbasis IP. Beberapa domain yang paling
banyak disalahgunakan adalah discordapp[.]com, squarespace[.]com,
amazonaws[.]com, mediafire[.]com, dan qq[.]com.
Secara total, tidak kurang dari 2,5 juta file mencurigakan
yang diunduh dari 101 domain milik 1.000 situs web teratas Alexa telah
terdeteksi.
Penyalahgunaan Discord telah didokumentasikan dengan baik,
dengan content delivery network(CDN) platform menjadi lahan subur untuk
menampung malware bersama Telegram, sementara juga menawarkan "pusat
komunikasi yang sempurna untuk penyerang."
Teknik lain yang sering digunakan adalah praktik
menandatangani malware dengan sertifikat valid yang dicuri dari pembuat
perangkat lunak lain. Layanan pemindaian malware mengatakan telah menemukan
lebih dari satu juta sampel berbahaya sejak Januari 2021, di mana 87% di
antaranya memiliki tanda tangan yang sah saat pertama kali diunggah ke basis
datanya.
VirusTotal mengatakan juga menemukan 1.816 sampel sejak
Januari 2020 yang menyamar sebagai perangkat lunak yang sah dengan mengemas
malware dalam penginstal untuk perangkat lunak populer lainnya seperti Google
Chrome, Malwarebytes, Zoom, Brave, Mozilla Firefox, dan Proton VPN.
Metode distribusi seperti itu juga dapat mengakibatkan serangan
rantai pasokan ketika musuh berhasil masuk ke server pembaruan perangkat lunak
yang sah atau mendapatkan akses tidak sah ke source code, sehingga memungkinkan
untuk menyelinap malware dalam bentuk binari trojan.
Atau, penginstal yang sah sedang dikemas dalam file
terkompresi bersama dengan file yang mengandung malware, dalam satu kasus
termasuk penginstal Proton VPN yang sah dan malware yang menginstal ransomware
Jigsaw.
Metode ketiga, meskipun lebih canggih, memerlukan penggabungan penginstal yang sah sebagai sumber daya portabel yang dapat dieksekusi ke dalam sampel berbahaya sehingga penginstal juga dieksekusi ketika malware dijalankan sehingga memberikan ilusi bahwa perangkat lunak berfungsi sebagaimana dimaksud.
"Ketika memikirkan teknik ini secara keseluruhan, orang dapat menyimpulkan bahwa ada faktor oportunistik bagi penyerang untuk menyalahgunakan (seperti sertifikat curian) dalam jangka pendek dan menengah, dan prosedur otomatis (kemungkinan besar) rutin di mana penyerang bertujuan untuk meniru secara visual aplikasi dengan cara yang berbeda," kata para peneliti.
