Logo Tom's Hardware

Abuse-of-trust: l'evoluzione del malware spiegata da VirusTotal

Uno studio di VirusTotal ha fatto luce sulle tecniche di abuse-of-trust sfruttate per diffondere malware tramite social engineering.

Avatar di Marco Doria

a cura di Marco Doria

VirusTotal, che ospita il più grande archivio di malware al mondo, ha da poco pubblicato un report sugli attacchi malware, che ne esplora l'evoluzione evidenziando la crescente tendenza a sfruttare brand noti per ingannare le vittime tramite tecniche di social engineering, con l'adozione generale della strategia di abuse-of-trust.

Ecco le principali scoperte dello studio:

  • Il 10% dei primi 1.000 domini Alexa ha distribuito campioni sospetti.
  • Il 98% dei campioni, compresi i programmi di installazione legittimi nelle rispettive risorse PE, si è dimostrato dannoso.
  • Il malware perpetrato tramite chiavi di firma rubate è più frequente del previsto.
  • L'imitazione visiva di applicazioni legittime è una tendenza in crescita e prende di mira una serie di applicazioni popolari (Skype, Adobe Acrobat, VLC).
  • Il malware che esegue programmi di installazione legittimi o li inserisce nello stesso file compresso all'interno del sample di malware, probabilmente non è così comune come le altre tecniche documentate, ma rappresenta un trend costante e in leggera crescita.
  • I domini popolari utilizzati da organizzazioni legittime vengono regolarmente utilizzati per distribuire malware, compresi i siti di hosting delle applicazioni più diffuse.

virustotal-241402.jpg

La tendenza che emerge da questo studio è proprio la violazione del "cerchio di fiducia", laddove gli hacker sfruttano brand e icone molto noti per indurre le vittime a scaricare e installare un malware. Ciò avviene tramite diverse tecniche, che possono essere a breve-medio termine, come nel caso dell'uso di certificati di firma validi rubati, come nel caso della violazione di Nvidia da parte del gruppo Lapsus$, passando per strategie a lungo termine, come l'imitazione a livello visivo di app legittime, l'inserimento di malware, spesso di tipo ransomware, in pacchetti di installazione considerati validi, oppure l'uso di domini validi per la distribuzione di contenuti dannosi.

Il report è disponibile per la consultazione facendo clic qui, tuttavia è disponibile solo in lingua inglese.

Nel corso degli ultimi 16 anni, VirusTotal ha elaborato oltre 2 milioni di file al giorno in 232 Paesi. Grazie al contributo costante della community di utenti, l'archivio è in grado di offrire un contesto pertinente agli attacchi informatici. I dati ottenuti in crowdsourcing, inoltre, consentono di analizzare i dati, condividere l'analisi dello sviluppo degli attacchi e contribuire a prevederne l'evoluzione.

Leggi altri articoli