Dalam sebuah laporan dari VirusTotal, pelaku kejahatan siber meniru sejumlah aplikasi sah untuk menipu calon korbannya. Aplikasi WhatsApp hingga Zoom palsu itu dilaporkan ternyata berisi malware dengan menggunakan fitur penting dari platform tersebut untuk meyakinkan mereka.
Selain WhatsApp dan Zoom, aplikasi sah lainnya yang paling banyak ditiru mulai dari Skype, Adobe Reader, VLC Player, 7-Zip, TeamViewer, CCleaner, Microsoft Edge, serta Steam.
“Salah satu trik rekayasa sosial paling sederhana yang pernah kami lihat melibatkan membuat sampel malware nampak sebagai program yang sah,” kata laporan VirusTotal, dikutip dari The Hacker News.
“Ikon program ini adalah fitur penting yang digunakan untuk meyakinkan korban bahwa program ini sah”.
Untuk menjalankan kejahatannya para pelaku akan memanfaatkan domain asli dengan tujuan mengatasi pertahanan firewall berbasis IP, tulis The Hacker News. Sejumlah domain yang tercatat paling banyak disalahgunakan adalah discordapp.
Secara total, dilaporkan terdapat sekitar 2,5 juta file mencurigakan yang diunduh 101 domain milik 1.000 situs web teratas Alexa. Penyalahgunaan Discord telah didokumentasikan dengan baik, dengan jaringan pengiriman konten (CDN) platform menjadi lahan subur menampung malware bersama dengan Telegram, sementara juga menawarkan “pusat komunikasi sempurna untuk penyerang”.
Teknik lain yang dilaporkan adalah praktik menandai malware dengan sertifikat valid yang dicuri dari pembuat software lain. Layanan pemindai malware menemukan lebih dari satu juta sampel berbahaya sejak Januari 2021, dengan 87% memiliki tanda sah sejak diunggah pertama kali ke basis datanya.
Selain itu, menurut VirusTotal, 1.816 sampel ditemukan sejak Januari 2020 menyamar sebagai software sah. Yakni dengan malware dikemas sebagai penginstal untuk perangkat lunak populer lain seperti Google Chrome, Malwarebytes, Zoom, Brave, Mozilla Firefox, dan Proton VPN.
“Saat memikirkan teknik secara keseluruhan, orang bisa menyimpulkan ada faktor oportunistik bagi penyerang untuk menyalahgunakan [seperti sertifikat curian] dalam jangka pendek dan menengah serta prosedur otomatis [kemungkinan besar] rutin di mana penyerang bertujuan untuk meniru aplikasi secara visual dengan cara berbeda,” ungkap para peneliti.