- Специальный корреспондент
Из-за ошибок в доменных именах посетители сайтов заражаются вредоносным ПО.
Эксперты компании Cyble и издания BleepingComputer сообщают о продолжающейся вредоносной кампании с использованием сети из более 200 доменов, имитирующих 27 брендов, которые принуждают пользователей загружать вредоносные программы для Windows и Android.
Согласно отчету Cyble, домены в этой кампании созданы с использованием техники Typosquatting (Тайпсквоттинг) — регистрация доменов с намеренными опечатками с целью имитации названий популярных сайтов. Например, в них заменяется одна буква или добавляется дополнительная буква «s». Поэтому пользователь может не заметить опечатку. (Например, tlktok.com вместо tiktok.com; gogle.com вместо google.com).
" data-html="true" data-original-title="Typosquatting">«typosquatting» и выдают себя за популярные магазины приложений для Android – Google Play, APKCombo и APKPure, а также за порталы загрузки для PayPal, VidMate, Snapchat и TikTok.
.png)
Некоторые из доменов, используемых для этой цели:
На всех доменах APK-файлы доставляют вредоносное ПО ERMAC – банковский троян, нацеленный на банковские счета и криптовалютные кошельки из 467 приложений.
Кроме того, эксперты издания BleepingComputer обнаружили более масштабную кампанию от тех же операторов, распространяющую вредоносное ПО для Windows. Эта кампания состоит из более 90 сайтов, имитирующих более 27-ми популярных компаний для распространения вредоносного ПО, кражи ключей восстановления криптовалюты и распространения вредоносного ПО для Android.
.png)
Один из вредоносных сайтов предлагает загрузить популярный текстовый редактор Notepad++. Файлы с этого сайта устанавливают инфостилер Vidar Stealer , размер которого был увеличен до 700 МБ, чтобы избежать анализа. Другой сайт выдает себя за проект Tor, используя домен «tocproject.com». В этом случае веб-сайт доставляет шпионское ПО Agent Tesla — это шпионское ПО, способное похищать личные данные из веб-браузеров, почтовых клиентов и FTP-серверов. Зловред также может собирать скриншоты, видео и захватывать данные из буфера обмена. Последние версии этой вредоносной программы также способны красть личные данные у VPN-клиентов." data-html="true" data-original-title="Agent Tesla">Agent Tesla и
Средство удаленного администрирования (Remote Administration Tool, RAT) - инструмент для несанкционированного доступа к системе удаленного пользователя. RAT позволяет видеть рабочий стол удаленного компьютера и контролировать его при помощи мыши или клавиатуры.
" data-html="true" data-original-title="RAT">RAT-троян.
Многие сайты нацелены на криптовалютные кошельки и начальные фразы пользователя, например, сайт «ethersmine[.]com» пытается украсть сид-фразу Ethereum кошелька посетителя.
.png)
Злоумышленники используют несколько вариантов каждого домена, чтобы использовать как можно больше опечаток, поэтому эти домены являются лишь небольшой частью всей сети доменов, используемых в кампании.
Источник
Эксперты компании Cyble и издания BleepingComputer сообщают о продолжающейся вредоносной кампании с использованием сети из более 200 доменов, имитирующих 27 брендов, которые принуждают пользователей загружать вредоносные программы для Windows и Android.
Согласно отчету Cyble, домены в этой кампании созданы с использованием техники Typosquatting (Тайпсквоттинг) — регистрация доменов с намеренными опечатками с целью имитации названий популярных сайтов. Например, в них заменяется одна буква или добавляется дополнительная буква «s». Поэтому пользователь может не заметить опечатку. (Например, tlktok.com вместо tiktok.com; gogle.com вместо google.com).
" data-html="true" data-original-title="Typosquatting">«typosquatting» и выдают себя за популярные магазины приложений для Android – Google Play, APKCombo и APKPure, а также за порталы загрузки для PayPal, VidMate, Snapchat и TikTok.
.png)
Вредоносный сайт, выдающий себя за PayPal
Некоторые из доменов, используемых для этой цели:
- payce-google[.]com — выдает себя за Google Wallet;
- snanpckat-apk[.]com — выдает себя за Snapchat;
- vidmates-app[.]com — выдает себя за VidMate;
- paltpal-apk[.]com — выдает себя за PayPal;
- m-apkpures[.]com — выдает себя за APKPure;
- tlktok-apk[.]link — имитирует портал загрузки для приложения TikTok.
На всех доменах APK-файлы доставляют вредоносное ПО ERMAC – банковский троян, нацеленный на банковские счета и криптовалютные кошельки из 467 приложений.
Кроме того, эксперты издания BleepingComputer обнаружили более масштабную кампанию от тех же операторов, распространяющую вредоносное ПО для Windows. Эта кампания состоит из более 90 сайтов, имитирующих более 27-ми популярных компаний для распространения вредоносного ПО, кражи ключей восстановления криптовалюты и распространения вредоносного ПО для Android.
.png)
Имитируемые сайты в разных категориях
Один из вредоносных сайтов предлагает загрузить популярный текстовый редактор Notepad++. Файлы с этого сайта устанавливают инфостилер Vidar Stealer , размер которого был увеличен до 700 МБ, чтобы избежать анализа. Другой сайт выдает себя за проект Tor, используя домен «tocproject.com». В этом случае веб-сайт доставляет шпионское ПО Agent Tesla — это шпионское ПО, способное похищать личные данные из веб-браузеров, почтовых клиентов и FTP-серверов. Зловред также может собирать скриншоты, видео и захватывать данные из буфера обмена. Последние версии этой вредоносной программы также способны красть личные данные у VPN-клиентов." data-html="true" data-original-title="Agent Tesla">Agent Tesla и
Средство удаленного администрирования (Remote Administration Tool, RAT) - инструмент для несанкционированного доступа к системе удаленного пользователя. RAT позволяет видеть рабочий стол удаленного компьютера и контролировать его при помощи мыши или клавиатуры.
" data-html="true" data-original-title="RAT">RAT-троян.
Многие сайты нацелены на криптовалютные кошельки и начальные фразы пользователя, например, сайт «ethersmine[.]com» пытается украсть сид-фразу Ethereum кошелька посетителя.
.png)
Сайт, выдающий себя за майнинго-пул Ethermine
Злоумышленники используют несколько вариантов каждого домена, чтобы использовать как можно больше опечаток, поэтому эти домены являются лишь небольшой частью всей сети доменов, используемых в кампании.
Источник
