HACKING

Typosquatting: Ψεύτικα sites μιμούνται δημοφιλή brands και διανέμουν malware

This post was originally published on this site

Μια τεράστια, κακόβουλη καμπάνια φαίνεται πως βρίσκεται σε εξέλιξη και χρησιμοποιεί περισσότερα από 200 typosquatting domains που υποδύονται είκοσι επτά δημοφιλή brands για να εξαπατήσει τους επισκέπτες και να τους κάνει να κατεβάσουν Windows και Android malware στις συσκευές τους.

Typosquatting malware

Το Typosquatting είναι μια παλιά μέθοδος επίθεσης. Οι χειριστές αυτών των εκστρατειών προσπαθούν να εξαπατήσουν χρήστες, ώστε να επισκεφτούν ένα ψεύτικο site. Αυτό το κάνουν χρησιμοποιώντας domain name παρόμοιο με αυτό που χρησιμοποιούν τα γνήσια brands.

Τα domain που χρησιμοποιούνται σε αυτήν την νέα καμπάνια μοιάζουν πολύ με τα αυθεντικά, καθώς μπορεί να αλλάζουν απλά τη θέση ενός γράμματος ή να προσθέτουν ένα “s”, κάτι που δεν γίνεται εύκολα αντιληπτό από τους χρήστες. Επιπλέον, τα ίδια τα sites είναι κλώνοι των πρωτοτύπων ή τουλάχιστον αρκετά πειστικά. Επομένως, ο εντοπισμός της απάτης γίνεται ακόμα πιο δύσκολος.

Δείτε επίσης: GitHub: Repositories με ψεύτικα PoC exploits διανέμουν malware

Τα θύματα συνήθως καταλήγουν σε αυτά τα κακόβουλα sites πληκτρολογώντας λάθος το όνομα του ιστότοπου που θέλουν να επισκεφτούν στη γραμμή URL του προγράμματος περιήγησης. Αυτό είναι κάτι πολύ συνηθισμένο όταν γράφουμε γρήγορα και ειδικά όταν χρησιμοποιούμε κινητό τηλέφωνο.

Ωστόσο, έχουν εντοπιστεί και περιπτώσεις, όπου οι χρήστες οδηγούνται στα κακόβουλα sites μέσω phishing emails και μηνυμάτων SMS, μέσω κακόβουλων αναρτήσεων σε social media, forums και αλλού.

Ορισμένα από τα κακόβουλα sites ανακαλύφθηκαν από ερευνητές της εταιρείας Cyble. Οι ερευνητές δημοσίευσαν μάλιστα μια έκθεση, που αναφέρει κάποια από τα ψεύτικα domains που μιμούνται δημοφιλή καταστήματα εφαρμογών Android όπως το Google Play, το APKCombo και το APKPure, καθώς και download portals για τα PayPal, VidMate, Snapchat και TikTok.

brandsbrands

Μερικά από τα domains που χρησιμοποιούνται για το σκοπό αυτό είναι:

  • payce-google[.]com – υποδύεται το Google Wallet
  • paltpal-apk[.]com – υποδύεται το PayPal
  • snanpckat-apk[.]com – υποδύεται το Snapchat
  • vidmates-app[.]com – υποδύεται το VidMate
  • m-apkpures[.]com – υποδύεται το APKPure
  • tlktok-apk[.]link– υποδύεται την πύλη λήψης για την εφαρμογή TikTok

Αν οι χρήστες προσπαθήσουν να κατεβάσουν τα παραπάνω APKs, μολύνουν τις συσκευές τους με το ERMAC malware, ένα banking trojan που στοχεύει τραπεζικούς λογαριασμούς και πορτοφόλια κρυπτονομισμάτων από 467 εφαρμογές.

Δείτε επίσης: Google Play: Εφαρμογές Android adware έχουν πάνω από 20 εκατομμύρια λήψεις

Μια τεράστια typosquatting καμπάνια

Η Cyble επικεντρώθηκε στο Android malware που διανέμει η συγκεκριμένη typosquatting καμπάνια. Ωστόσο, σύμφωνα με το BleepingComputer, διανέμεται και malware για Windows συσκευές.

Αυτή η καμπάνια αποτελείται από περισσότερους από 90 ιστότοπους που δημιουργήθηκαν για να υποδύονται περισσότερα από είκοσι επτά δημοφιλή brands για τη διανομή κακόβουλου λογισμικού για Windows, την κλοπή cryptocurrency recovery keys και την προώθηση κακόβουλου λογισμικού Android.

Category Impersonated Brands
Mobile Apps & Services TikTok
Vidmate
SnapChat
Paypal
APK Pure
APKCombo
Google Wallet
Software Microsoft Visual Studio
Brave Browser
ThunderBird
Notepad+
Tor Browser
Cryptocurrency TronLink
MetaMask
Phantom
Cosmos Wallet
Mintable
Ethermine
GenoPets
Crypto and Stock trading Trading View
IQ Option
NinjaTrader
Tiger.Trade
Web sites Figma
Quatro Casinos
Big Time
CS:Money

Ένα χαρακτηριστικό παράδειγμα αυτής της typosquatting καμπάνιας είναι το δημοφιλές πρόγραμμα επεξεργασίας κειμένου Notepad++. Αυτός ο ψεύτικος ιστότοπος χρησιμοποιεί το domain “notepads-plus-plus[.]org“, που διαθέτει έναν παραπάνω χαρακτήρα από το αυθεντικό “notepad-plus-plus.org“.

Τα αρχεία από αυτόν τον ιστότοπο εγκαθιστούν το κακόβουλο λογισμικό κλοπής πληροφοριών Vidar Stealer.

Δείτε επίσης: Κυκλοφόρησε νέα έκδοση του malware Ursnif – γνωστού ως Gozi

Άλλα παραδείγματα:

  • thundersbird[.]org – Μιμείται τη δημοφιλή σουίτα ηλεκτρονικού ταχυδρομείου ανοιχτού κώδικα Thunderbird, και μολύνει συσκευές με το Vidar Stealer
  • codevisualstudio[.]org – Μιμείται το Visual Studio Code της Microsoft και διανέμει το Vidar
  • braves-browsers[.]org – Μιμείται το πρόγραμμα περιήγησης Brave και διανέμει το Vidar

Άλλα κακόβουλα sites στοχεύουν κατόχους κρυπτονομισμάτων και επενδυτές ψηφιακών περιουσιακών στοιχείων και υποδύονται δημοφιλή crypto wallets, εφαρμογές συναλλαγών και ιστότοπους NFT.

Οι χειριστές αυτής της τεράστιας typosquatting εκστρατείας χρησιμοποιούν πολλαπλές παραλλαγές για κάθε domain για να καλύψουν όσο το δυνατόν περισσότερους εσφαλμένους τύπους.

Επομένως, προσέξτε πού κάνετε κλικ!

Πηγή: www.bleepingcomputer.com

The post Typosquatting: Ψεύτικα sites μιμούνται δημοφιλή brands και διανέμουν malware appeared first on SecNews.gr.

https://www.secnews.gr/security/

%d bloggers like this: