Огромная вредоносная программа (откроется в новой вкладке) была обнаружена кампания по распространению, использующая более 200 вредоносных доменов и выдающая себя за более двух десятков мировых брендов для распространения всех видов вредоносных программ как для Android, (откроется в новой вкладке) и операционные системы Windows.
Исследователи кибербезопасности из Cyble первыми заметили кампанию, направленную на распространение различных вредоносных программ среди пользователей Android.
В ходе кампании неизвестные злоумышленники создали бесчисленное количество доменов, которые кажутся почти идентичными реальным доменам, принадлежащим крупным брендам, таким как PayPal, SnapChat, TikTok и другим. В доменах есть только один символ, который отличается, отсутствует или лишний.
Атакованы пользователи Android и Windows
Этот тип мошенничества обычно называют «опечатыванием» и он используется во всех видах атак, например, на GitHub, где злоумышленники создают репозитории с именами, почти идентичными легитимным репозиториям, чтобы попробовать и распространить вредоносное ПО.
BleepingКомпьютер затем расширил это исследование, чтобы найти множество других доменов, распространяющих вредоносное ПО среди пользователей Windows. Точный метод рекламы этих доменов неизвестен, но публикация предполагает, что это либо сами жертвы неправильно набирают домены на своих устройствах, либо злоумышленники занимаются фишингом и другими формами социальной инженерии. Однако мы не должны забывать об отравлении SEO.
Также было установлено, что злоумышленники использовали эту крупную кампанию по опечаткам для доставки всех видов вредоносного ПО. В одних случаях они распространяли Vidar Stealer, а в других — Agent Tesla. Vidar может украсть банковскую информацию, сохраненные пароли, историю браузера, IP-адреса, сведения о криптовалютных кошельках и, в некоторых случаях, информацию MFA. Агент Тесла, впервые обнаруженный около восьми лет назад, способен красть учетные данные из многих популярных приложений, включая веб-браузеры, программное обеспечение VPN, FTP и почтовые клиенты.
Исследователи полагают, что злоумышленники в настоящее время экспериментируют с различными вариантами вредоносных программ, пока не увидят, что работает лучше всего. Помимо вредоносного ПО, исследователи также обнаружили ethersmine.[.]com, который пытается украсть начальные фразы для кошельков Ethereum.
С помощью: BleepingКомпьютер (откроется в новой вкладке)
