Для атак использовалась техника тайпсквоттинга: злоумышленники регистрировали доменные имена, которые напоминают домены популярных легитимных продуктов, но имеют различия в нескольких символах.
В то время как внимательные и осторожные пользователи Интернета могут определить поддельный сайт, просто взглянув на доменное имя, большинство обычных пользователей полагаются на визуальные элементы сайта, чтобы судить о его подлинности.
В рамках вредоносной кампании используется более 200 доменов с опечатками, чтобы выдавать себя за 27 брендов, включая TikTok, Figma, PayPal, SnapChat, APK Pure, Google Wallet или Microsoft Visual Studio Code.
Первоначально вредоносная кампания была обнаружена специалистами компании Cyble, занимающейся сферой кибербезопасности. Эксперты полагают, что атаки в первую очередь нацелены на пользователей Android — поддельные сайты создавались для загрузки APK-файлов. Команда Bleeping Computer обнаружила, что кампания выходит за рамки Android, поскольку она нацелена на бренды в области программного обеспечения, криптовалюты и других ниш.
Киберпреступники подделывали сайты таких продуктов, как Notepad++, Thunderbird или Tor Browser. Некоторые доменные имена очень похожи на оригинальные, и большинство сайтов выглядят как точные копии оригиналов.
Кампания используется для распространения различных видов угроз. Например, на фальшивом сайте Notepad++ обнаружено ПО для кражи информации Vidar Stealer, а на фейковом сайте Tor Project распространяются кейлоггер Agent Tesla и троян удаленного доступа (RAT).
Вредоносные сайты продвигаются разными способами: по электронной почте, путем случайных опечаток пользователей, через сообщения чата, социальные сети или SMS.
К текущему моменту большинство сайтов должны быть заблокированы в современных браузерах. Попытка открыть их в браузере должна отображать предупреждение системы безопасности. Однако есть вероятность, что будут созданы новые сайты, которые еще не заблокированы.
Основной защитой от таких атак является проверка адреса сайта перед взаимодействием с ним. Требуется всего одна или две секунды, чтобы проверить URL-адрес сайта и определить его подлинность. Если пользователи не знают настоящий домен, то могут использовать поисковые системы для проверки. Иногда локальные данные могут помочь в определении правильного веб-сайта.
Также пользователям не рекомендуется нажимать на подозрительные ссылки в электронных письмах и в социальных сетях.
Угрозы безопасности
• Антивирусы становятся бесполезными? ИИ может генерировать 10 000 вариантов вредоносного ПО, избегая обнаружения в 88% случаев
• Apache устраняет обход уязвимости удаленного выполнения кода в веб-сервере Tomcat
• Основные киберугрозы 2024 года в России: утечки данных, вымогатели и фишинг
• Обнаружен скрытый руткит Pumakit для Linux. Он может использоваться в таргетированных атаках
• Уязвимость OpenWrt Sysupgrade позволяет распространять вредоносные образы прошивки. Обновите свои устройства
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов