玩弄使用者「絕對信任」！以合法 App 與憑證為誘餌攻擊成駭客新主流

Google 惡意軟體研究報告指出，網路犯罪著及駭客正在部署各種「濫用信任」的方法散布惡意軟體並規避傳統安全防禦機制，尤其愛玩弄信譽良好軟體供應商與使用者的「絕對信任」，包括濫用合法傳播管道散布惡意軟體，且模仿合法應用程式。

透過合法網域散布惡意軟體，惡意軟體便可毫髮無傷通過網域／IP 防火牆等傳統網路邊界防禦機制。據提交 Google Cloud 旗下 VirusTotal 研究團隊的研究報告指出，千大 Alexa 網域有 10% 散布可疑惡意軟體樣本。Google 共發現超過 200 萬個從合法 Alexa 網域（包括經常分發檔案的網域）下載的可疑檔案。

另一個攻擊管道是，從合法軟體開發商竊取合法簽署憑證，為惡意軟體簽章。研究透露，超過 100 萬份 2021 年以來簽章樣本認為可疑。即使有多樣本使用無效或撤銷憑證，但受害者多半也無法確認憑證有效性。

最令人擔憂的，莫過於攻擊者竊取合法憑證的攻擊手法，無異為供應鏈攻擊創造完美攻擊模式與場景。現在有愈來愈多攻擊者部署偽裝成合法軟體的惡意軟體，成為備受駭客關注的典範社交工程手法。由於應用程式圖示成為使用者判斷程式合法的依據，所以駭客會同時安裝惡意軟體及使用者認為合法的軟體。換言之，以合法軟體當誘餌成為讓受害者乖乖受縛，且不會驚動安全警示的有效保證。VirusTotal 認為這些攻擊管道及手法勢將成為駭客界成長可期的流行趨勢。

報告另外指出，Skype、Adobe Acrobat 及 VLC 媒體播放器圖示成為三大最常被複製仿冒的應用程式圖示。但據感染率看，Adobe Acrobat、Skype 和 7.zip 才是感染最高的三大應用程式，站在社交工程的角度，三款應用程式才該是駭客複製仿冒圖示的最愛才對。不論如何，駭客會根據軟體流行度轉換要複製仿冒的應用軟體。

VirusTotal 運用網站圖示相似性分析 URL 和應用程式圖標相似度，發現 WhatsApp、Facebook、Instagram 和 iCloud 遭疑似惡意 URL 濫用度最高。