- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 6ч 10м
- Сделки
- 251
- Нарушения
- 0 / 0
Согласно отчету Cyble, домены в этой кампании созданы с использованием техники «typosquatting» и выдают себя за популярные магазины приложений для Android – Google Play, APKCombo и APKPure, а также за порталы загрузки для PayPal, VidMate, Snapchat и TikTok.
Некоторые из доменов, используемых для этой цели:
- payce-google[.]com — выдает себя за Google Wallet;
- snanpckat-apk[.]com — выдает себя за Snapchat;
- vidmates-app[.]com — выдает себя за VidMate;
- paltpal-apk[.]com — выдает себя за PayPal;
- m-apkpures[.]com — выдает себя за APKPure;
- tlktok-apk[.]link — имитирует портал загрузки для приложения TikTok.
Кроме того, эксперты издания BleepingComputer обнаружили более масштабную кампанию от тех же операторов, распространяющую вредоносное ПО для Windows. Эта кампания состоит из более 90 сайтов, имитирующих более 27-ми популярных компаний для распространения вредоносного ПО, кражи ключей восстановления криптовалюты и распространения вредоносного ПО для Android.
Один из вредоносных сайтов предлагает загрузить популярный текстовый редактор Notepad++. Файлы с этого сайта устанавливают инфостилер Vidar Stealer , размер которого был увеличен до 700 МБ, чтобы избежать анализа. Другой сайт выдает себя за проект Tor, используя домен «tocproject.com». В этом случае веб-сайт доставляет шпионское ПО Agent Tesla и RAT-троян.
Многие сайты нацелены на криптовалютные кошельки и начальные фразы пользователя, например, сайт «ethersmine[.]com» пытается украсть сид-фразу Ethereum кошелька посетителя.
Злоумышленники используют несколько вариантов каждого домена, чтобы использовать как можно больше опечаток, поэтому эти домены являются лишь небольшой частью всей сети доменов, используемых в кампании.
