Los ciberdelincuentes tienen ciertas aplicaciones que les gustan más que otras para engañarnos. Según el último estudio de VirusTotal, propiedad de Google, Skype, Adobe Reader y VLC Player son ahora mismo sus programas favoritos: los imitan y consiguen así tener la confianza de los usuarios para realizar algún ataque.
Otras de las aplicaciones legítimas más suplantadas por iconos son 7-Zip, TeamViewer, CCleaner, Microsoft Edge, Steam, Zoom y WhatsApp, según ha revelado un análisis de VirusTotal.
Además, según los expertos, es hasta sencillo: «uno de los trucos de ingeniería social más sencillos que hemos visto consiste en hacer que una muestra de malware parezca un programa legítimo», dijo VirusTotal en su informe. «El icono de estos programas es, en realidad una característica crítica utilizada para convencer a las víctimas de que estos programas son legítimos».
VirusTotal dijo que también descubrió 1.816 muestras desde enero de 2020 que se hicieron pasar por software legítimo al empaquetar el malware en instaladores para otro software popular como Google Chrome, Malwarebytes, Zoom, Brave, Mozilla Firefox y Proton VPN.
Los hosts legítimos de aplicaciones distribuyen malware
Otro dato curioso es que se calcula que un 0,1% de los hosts legítimos de aplicaciones populares han distribuido malware. Esto se consigue principalmente aprovechando dominios genuinos en un intento de burlar las defensas de los cortafuegos basados en IP. Algunos de los dominios más abusados son discordapp[.]com, squarespace[.]com, amazonaws[.]com, mediafire[.]com y qq[.]com.
Además, se han detectado 2,5 millones de archivos sospechosos descargados desde 101 dominios pertenecientes a los 1.000 mejores sitios web de Alexa. Esto se traduce a que «el 10% de los 1.000 principales dominios de Alexa han distribuido muestras sospechosas».
Además, recuerdan desde The Hacker News que el uso indebido de Discord ha sido bien documentado, ya que la red de entrega de contenidos (CDN) de la plataforma se ha convertido en un terreno fértil para alojar malware junto con Telegram.
Otra técnica muy utilizada es la práctica de firmar el malware con certificados válidos robados a otros fabricantes de software. El servicio de escaneo de malware dijo que encontró más de un millón de muestras maliciosas desde enero de 2021, de las cuales el 87% tenía una firma legítima cuando se subieron por primera vez a su base de datos.