Estas son las 10 aplicaciones más usadas por los ciberdelincuentes para disfrazar “malware”

La confianza es algo tan difícil de ganar como fácil de perder y la que establecen los consumidores con las aplicaciones de software que emplean, un activo al que los ciberdelincuentes saben sacar provecho. Este enfoque de “abuso de confianza” conforma algunas de las tácticas más utilizadas a la hora de distribuir malware, asunto sobre el que VirusTotal, servicio de análisis de malware con sede en Málaga y perteneciente a Google Cloud, ha publicado un estudio basándose en millones de muestras de softwaresospechoso analizadas en la plataforma entre 2021 y 2022.

El informe aborda diferentes tácticas que buscan abusar de la confianza establecida entre usuarios y aplicaciones de software legítimas. Estas comprenden la distribución de malware a través de dominios legítimos, el uso de certificados digitales robados, la adición del malware al paquete de instalación de una aplicación de confianza del usuario y disfrazar un software malicioso como software legitimo mediante la manipulación del icono que lo identifica.

El uso de dominios legítimos para distribuir malware permite a los ciberdelincuentes evadir protecciones como las de firewalls cuando se basan en las restricciones de determinadas IPs y dominios. Discordapp.com es el más usado y le siguen squarespace.com, amazonaws.com, mediafire.com, qq.com, fc2.com, baidu.com, live.com y archive.org. El listado incluye dominios dedicados a la distribución de archivos y de otros tipos que los ciberdelincuentes consiguen aprovechar. El 10% de los 1.000 dominios más visitados de Internet según Alexa, la plataforma de estadísticas de Internet que Amazon cerró la pasada primavera, distribuyeron archivos sospechosos.

Otra táctica empleada es la de distribuir malware con certificados digitales robados que emplean para firmar digitalmente el software malicioso, de forma que parece provenir de una fuente legítima. Por ejemplo, cuando Nvidia fue objeto de un robo de datos el pasado mes de marzo, los certificados digitales de la compañía obtenidos por el grupo de ciberdelincuentes Lapsus$ pronto comenzaron a verse empleados para firmar digitalmente malware. Se trata de una tendencia que tiene un crecimiento notable y, desde inicios de 2021, el 87% de las muestras maliciosas analizadas por VirusTotal poseen una firma digital válida.

Incluir el malware en el instalador de una aplicación legítima también es una estrategia muy recurrida. VirusTotal encontró más de 4.000 muestras de malware empaquetado con instaladores de programas como Google Chrome, Malwarebytes, Windows Update, Zoom, Brave, Firefox, ProtonVPN, y Telegram. Disponibles, principalmente, en webs como cloudfront.net, infocarnames.ru, hotaction.online, imgfarm.com, mediadownloader25, discordapp.com, amazonaws.com, yandex.net, winzipdriverupdater.com y telegram-rus.ru, en este orden.

El “abuso de confianza” también incluye disfrazar un malware como una app legítima presentándola bajo el icono de esta última. Se trata de una técnica muy extendida cuyo uso ha aumentado claramente desde el pasado otoño. De acuerdo con los datos de VirusTotal, las aplicaciones más usadas para este engaño son Skype (28%), Adobe Acrobat (18,2%), VLC (17,6%), 7zip (11,5%), Team Viewer (7,5%), CCleaner (5,6%), Microsoft Edge (2,5%), Steam (2,3%), Zoom (1,8%) y WhatsApp (0,8%).

Esta última táctica también la aplican a sitios webs cambiando, en esta ocasión, el favicon, icono que aparece en la pestaña del navegador junto al nombre del sitio que se visita y lo identifica, para inducir al usuario a creer que está en una web legítima para descargar una determinada aplicación. Las más usadas para este fin son WhatsApp (23%), Instagram (22,5%), Facebook (13%), iCloud (5,2%), Discord (2,7%), MS Office (2,4%), MS Outlook (2,4%), Twitter (2,4%), Steam (2,3%) y Netflix (2,3%).