Μια τεράστια, κακόβουλη καμπάνια φαίνεται πως βρίσκεται σε εξέλιξη και χρησιμοποιεί περισσότερα από 200 typosquatting domains που υποδύονται είκοσι επτά δημοφιλή brands για να εξαπατήσει τους επισκέπτες και να τους κάνει να κατεβάσουν Windows και Android malware στις συσκευές τους.
Το Typosquatting είναι μια παλιά μέθοδος επίθεσης. Οι χειριστές αυτών των εκστρατειών προσπαθούν να εξαπατήσουν χρήστες, ώστε να επισκεφτούν ένα ψεύτικο site. Αυτό το κάνουν χρησιμοποιώντας domain name παρόμοιο με αυτό που χρησιμοποιούν τα γνήσια brands.
Τα domain που χρησιμοποιούνται σε αυτήν την νέα καμπάνια μοιάζουν πολύ με τα αυθεντικά, καθώς μπορεί να αλλάζουν απλά τη θέση ενός γράμματος ή να προσθέτουν ένα “s”, κάτι που δεν γίνεται εύκολα αντιληπτό από τους χρήστες. Επιπλέον, τα ίδια τα sites είναι κλώνοι των πρωτοτύπων ή τουλάχιστον αρκετά πειστικά. Επομένως, ο εντοπισμός της απάτης γίνεται ακόμα πιο δύσκολος.
Δείτε επίσης: GitHub: Repositories με ψεύτικα PoC exploits διανέμουν malware
Τα θύματα συνήθως καταλήγουν σε αυτά τα κακόβουλα sites πληκτρολογώντας λάθος το όνομα του ιστότοπου που θέλουν να επισκεφτούν στη γραμμή URL του προγράμματος περιήγησης. Αυτό είναι κάτι πολύ συνηθισμένο όταν γράφουμε γρήγορα και ειδικά όταν χρησιμοποιούμε κινητό τηλέφωνο.
Ωστόσο, έχουν εντοπιστεί και περιπτώσεις, όπου οι χρήστες οδηγούνται στα κακόβουλα sites μέσω phishing emails και μηνυμάτων SMS, μέσω κακόβουλων αναρτήσεων σε social media, forums και αλλού.
Ορισμένα από τα κακόβουλα sites ανακαλύφθηκαν από ερευνητές της εταιρείας Cyble. Οι ερευνητές δημοσίευσαν μάλιστα μια έκθεση, που αναφέρει κάποια από τα ψεύτικα domains που μιμούνται δημοφιλή καταστήματα εφαρμογών Android όπως το Google Play, το APKCombo και το APKPure, καθώς και download portals για τα PayPal, VidMate, Snapchat και TikTok.
Μερικά από τα domains που χρησιμοποιούνται για το σκοπό αυτό είναι:
- payce-google[.]com – υποδύεται το Google Wallet
- paltpal-apk[.]com – υποδύεται το PayPal
- snanpckat-apk[.]com – υποδύεται το Snapchat
- vidmates-app[.]com – υποδύεται το VidMate
- m-apkpures[.]com – υποδύεται το APKPure
- tlktok-apk[.]link– υποδύεται την πύλη λήψης για την εφαρμογή TikTok
Αν οι χρήστες προσπαθήσουν να κατεβάσουν τα παραπάνω APKs, μολύνουν τις συσκευές τους με το ERMAC malware, ένα banking trojan που στοχεύει τραπεζικούς λογαριασμούς και πορτοφόλια κρυπτονομισμάτων από 467 εφαρμογές.
Δείτε επίσης: Google Play: Εφαρμογές Android adware έχουν πάνω από 20 εκατομμύρια λήψεις
Μια τεράστια typosquatting καμπάνια
Η Cyble επικεντρώθηκε στο Android malware που διανέμει η συγκεκριμένη typosquatting καμπάνια. Ωστόσο, σύμφωνα με το BleepingComputer, διανέμεται και malware για Windows συσκευές.
Αυτή η καμπάνια αποτελείται από περισσότερους από 90 ιστότοπους που δημιουργήθηκαν για να υποδύονται περισσότερα από είκοσι επτά δημοφιλή brands για τη διανομή κακόβουλου λογισμικού για Windows, την κλοπή cryptocurrency recovery keys και την προώθηση κακόβουλου λογισμικού Android.
Category | Impersonated Brands |
Mobile Apps & Services | TikTok Vidmate SnapChat Paypal APK Pure APKCombo Google Wallet |
Software | Microsoft Visual Studio Brave Browser ThunderBird Notepad+ Tor Browser |
Cryptocurrency | TronLink MetaMask Phantom Cosmos Wallet Mintable Ethermine GenoPets |
Crypto and Stock trading | Trading View IQ Option NinjaTrader Tiger.Trade |
Web sites | Figma Quatro Casinos Big Time CS:Money |
Ένα χαρακτηριστικό παράδειγμα αυτής της typosquatting καμπάνιας είναι το δημοφιλές πρόγραμμα επεξεργασίας κειμένου Notepad++. Αυτός ο ψεύτικος ιστότοπος χρησιμοποιεί το domain “notepads-plus-plus[.]org“, που διαθέτει έναν παραπάνω χαρακτήρα από το αυθεντικό “notepad-plus-plus.org“.
Τα αρχεία από αυτόν τον ιστότοπο εγκαθιστούν το κακόβουλο λογισμικό κλοπής πληροφοριών Vidar Stealer.
Δείτε επίσης: Κυκλοφόρησε νέα έκδοση του malware Ursnif – γνωστού ως Gozi
Άλλα παραδείγματα:
- thundersbird[.]org – Μιμείται τη δημοφιλή σουίτα ηλεκτρονικού ταχυδρομείου ανοιχτού κώδικα Thunderbird, και μολύνει συσκευές με το Vidar Stealer
- codevisualstudio[.]org – Μιμείται το Visual Studio Code της Microsoft και διανέμει το Vidar
- braves-browsers[.]org – Μιμείται το πρόγραμμα περιήγησης Brave και διανέμει το Vidar
Άλλα κακόβουλα sites στοχεύουν κατόχους κρυπτονομισμάτων και επενδυτές ψηφιακών περιουσιακών στοιχείων και υποδύονται δημοφιλή crypto wallets, εφαρμογές συναλλαγών και ιστότοπους NFT.
Οι χειριστές αυτής της τεράστιας typosquatting εκστρατείας χρησιμοποιούν πολλαπλές παραλλαγές για κάθε domain για να καλύψουν όσο το δυνατόν περισσότερους εσφαλμένους τύπους.
Επομένως, προσέξτε πού κάνετε κλικ!
Πηγή: www.bleepingcomputer.com