Neuer VirusTotal Report Malware täuscht im großen Stil

Von Peter Schmitz

Anbieter zum Thema

Google Clouds Online-Dienst VirusTotal veröffentlichte vor kurzem seinen Report “Deception at scale: How malware abuses trust”. In der diesjährigen Auflage konzentriert sich der Bericht auf verschiedene Techniken die dokumentieren, wie Malware eingesetzt wird, um Abwehrmechanismen zu umgehen und Social-Engineering-Angriffe effektiver zu gestalten.

Die Reports von VirusTotal sollen dabei helfen zu verstehen, mit welchen Techniken Malware eingesetzt wird, um sich so besser dagegen verteidigen zu können.
Die Reports von VirusTotal sollen dabei helfen zu verstehen, mit welchen Techniken Malware eingesetzt wird, um sich so besser dagegen verteidigen zu können.
(Bild: valerybrozhinsky - stock.adobe.com)

Eine der effektivsten Social-Engineering-Techniken besteht darin, Malware zu verstecken, indem man sie in Installationspakete mit legitimer Software packt. Dies führt schnell zu einem Angriff über die Lieferkette, wenn die Angreifer Zugriff auf den offiziellen Verteilungsserver, den Quellcode oder die Zertifikate erhalten. Um diese Angriffsmethode zu untersuchen, hat VirusTotal Dateien überprüft, die bei dem Online-Dienst eingereicht wurden und von bekannten, legitimen Domains verbreitet werden. Von den fast 80.000 gefundenen Dateien wurden 78 von mehr als fünf Prozent der Antivirenprogramme als potenziell bösartig erkannt.

Einige wichtige Erkenntnisse des Berichts zusammengefasst:

  • 10 Prozent der Top-1.000-Alexa-Domains haben verdächtige Samples verbreitet.
  • 0,1 Prozent der legitimen Hosts für beliebte Anwendungen haben Malware verbreitet.
  • 87 Prozent der mehr als eine Million signierten Schadprogramme, die seit Januar 2021 auf VirusTotal hochgeladen wurden, haben eine gültige Signatur.
  • Im Rahmen eines wachsenden Social-Engineering-Trends wurden 4.000 Samples entweder ausgeführt oder mit legitimen App-Installationsprogrammen komprimiert.
  • Die Zahl der Schadprogramme, die optisch legitime Anwendungen imitieren, hat stetig zugenommen, wobei Skype, Adobe Acrobat und VLC die drei Spitzenreiter sind.
  • 98 Prozent der Samples, die legitime Installationsprogramme in ihren PE-Ressourcen enthielten, waren bösartig.

Eine weitere Methode, die im VirusTotal-Bericht „Deception at scale: How malware abuses trust“ Erwähnung findet, ist die Verbreitung von Malware über visuell als legitim getarnte Software. VirusTotal kann ein effektives Tool sein, um nach visuellen Ähnlichkeiten zwischen Dateien und Websites zu suchen, was sich zur Erkennung von Malware eignet, die Symbole von legitimen Anwendungen stiehlt. Der Web-Dienst hält fest, dass die Zahl der Schadprogramme, die optisch legitime Anwendungen imitieren, stetig zugenommen hat.

Weiterhin ein Problem ist laut dem Bericht der Missbrauch von rechtmäßigen Zertifikaten. Zum Hintergrund: Mit rechtmäßigen Zertifikaten signierte Samples galten lange Zeit für das Betriebssystem und einige Sicherheitslösungen als sicher. Leider haben Angreifer dieses Vertrauen missbraucht, indem sie legitime Signaturzertifikate gestohlen und zum Signieren ihrer Malware verwendet haben, um den Anschein zu erwecken, sie stammten von legitimen Softwareherstellern. Researcher von Google Chronicle haben vor fast drei Jahren bereits Untersuchungen zu dieser Methode durchgeführt.

Die regelmäßigen Reports von VirusTotal sollen dabei helfen, die Dimension der diskutierten Techniken zu verstehen, von denen einige immer beliebter werden. Schließlich sei es wichtig zu verstehen, mit welchen Techniken Malware eingesetzt wird, um ihre Effektivität zu erhöhen. Ebenso wichtig ist es, sich gegen diese Malware verteidigen zu können. Die Analyse und Beschreibung der im Bericht beschriebenen Täuschungsmethoden sowie die im zugehörigen Blogbeitrag vorgestellten Implementierungsideen sollen dazu beitragen, die Entwicklung künftiger Malware-Kampagnen aktiv zu überwachen und zu verstehen.

(ID:48533731)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung