Обнаружена масштабная вредоносная кампания по распространению вредоносного ПО с использованием поддельных сайтов

2022-10-24 6964 комментарии
Исследователи в сфере безопасности обнаружили крупную вредоносную кампанию по распространению зловредов, в рамках которой фальшивые веб-сайты выдавал себя за популярные продукты от именитых брендов

Для атак использовалась техника тайпсквоттинга: злоумышленники регистрировали доменные имена, которые напоминают домены популярных легитимных продуктов, но имеют различия в нескольких символах.

В то время как внимательные и осторожные пользователи Интернета могут определить поддельный сайт, просто взглянув на доменное имя, большинство обычных пользователей полагаются на визуальные элементы сайта, чтобы судить о его подлинности.

В рамках вредоносной кампании используется более 200 доменов с опечатками, чтобы выдавать себя за 27 брендов, включая TikTok, Figma, PayPal, SnapChat, APK Pure, Google Wallet или Microsoft Visual Studio Code.

Первоначально вредоносная кампания была обнаружена специалистами компании Cyble, занимающейся сферой кибербезопасности. Эксперты полагают, что атаки в первую очередь нацелены на пользователей Android — поддельные сайты создавались для загрузки APK-файлов. Команда Bleeping Computer обнаружила, что кампания выходит за рамки Android, поскольку она нацелена на бренды в области программного обеспечения, криптовалюты и других ниш.

Киберпреступники подделывали сайты таких продуктов, как Notepad++, Thunderbird или Tor Browser. Некоторые доменные имена очень похожи на оригинальные, и большинство сайтов выглядят как точные копии оригиналов.

Кампания используется для распространения различных видов угроз. Например, на фальшивом сайте Notepad++ обнаружено ПО для кражи информации Vidar Stealer, а на фейковом сайте Tor Project распространяются кейлоггер Agent Tesla и троян удаленного доступа (RAT).

Вредоносные сайты продвигаются разными способами: по электронной почте, путем случайных опечаток пользователей, через сообщения чата, социальные сети или SMS.

К текущему моменту большинство сайтов должны быть заблокированы в современных браузерах. Попытка открыть их в браузере должна отображать предупреждение системы безопасности. Однако есть вероятность, что будут созданы новые сайты, которые еще не заблокированы.

Основной защитой от таких атак является проверка адреса сайта перед взаимодействием с ним. Требуется всего одна или две секунды, чтобы проверить URL-адрес сайта и определить его подлинность. Если пользователи не знают настоящий домен, то могут использовать поисковые системы для проверки. Иногда локальные данные могут помочь в определении правильного веб-сайта.

Также пользователям не рекомендуется нажимать на подозрительные ссылки в электронных письмах и в социальных сетях.

© .

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?