Sophos發表最新研究報告《假的盜版軟體為惡意軟體提供植入程式即服務》,詳細說明可租用的病毒植入程式 (dropper) 如何向尋找「破解版」商業和消費性應用程式的使用者植入惡意和不需要的內容。
Sophos 資深威脅研究員 Sean Gallagher 表示:「付費的下載和植入程式服務已經出現很久了,但它們仍在繼續發展和擴張,為背後的營運商賺進大把鈔票。我們的研究表明,它之所以成功,部分原因是惡意人士對取得帳戶憑證的需求仍然很大,而這些付費服務讓技術能力較低的網路犯罪分子也能以最低成本進行大範圍的憑證竊取和加密貨幣詐騙。
「植入程式即服務 (Droppers-as-a-Service) 營運商還會在每個植入程式中搭載一系列惡意或不需要的內容來最大化利潤,在單次下載中就植入大量攻擊受害者的惡意應用程式。
「在過去的 18 個月裡,有數百萬人在家上班並經常使用個人設備來完成工作。這使得企業也面臨惡意植入程式下載攻擊的風險,並為新手駭客提供了利潤更高的潛在目標。例如,我們的研究發現植入程式會遞送後門程式 (例如 Glupteba) 以及資訊竊取程式 (例如 Raccoon Stealer 和 Crypto Bot)。
「幸運的是,在企業安全方面,安全軟體很容易就能偵測出由植入程式遞送進來的惡意軟體,無論是透過簽章或行為。不過,由於惡意軟體存在於加密的檔案中,安全技術在解壓縮之前無法偵測到它們。」
植入軟體即服務:攻擊步驟
SophosLabs 最近發表了對資訊竊取程式 Raccoon Stealer 的研究,該資訊竊取程式會經由植入軟體即服務遞送到目標。後續研究中,SophosLabs 研究人員分析了這些植入程式即服務如何遞送它們的多個裝載。
下圖顯示當有人點擊下載盜版軟體 (但實際上是假的惡意軟體植入程式) 時會發生什麼事:
如何防禦植入程式
Sophos 建議企業檢查安全軟體、設定和政策,確保它們能夠偵測和阻止惡意和不需要的下載。
包含使用強大的網路篩選功能。躲藏在植入程式封裝中的惡意軟體只有在解開後才能被偵測到,但它已經進入網路了。
一個好的網路篩選器不只會掃描一般下載,還會檢查加密的網路流量。根據 Sophos 的研究,超過一半的惡意軟體 現在使用傳輸層安全 (TLS) 加密進行通訊。網路篩選器還可以在第一時間阻止不良網域和 URL 來保護企業及員工,避免連線到危險或不可信任的伺服器。
組織應該使用最新的端點保護來補強網路安全,在員工進行和遠距工作有關的服務時進行行為偵測。
適用於端點的 Sophos Firewall 和 Intercept X 可提供以上保護以及更多功能,包括勒索軟體防護。
Sophos 還建議消費者在他們及家人用於連線和遊戲的設備上安裝安全解決方案,例如 Sophos Home,以保護每個人免受惡意軟體和網路的威脅。避免從任何來源下載和安裝未經許可的軟體也是一種很好的安全做法。始終先做檢查,確保它是合法的。
圖片轉載自Sophos官網。