BleepingComputer предупреди на масовна кампања за „typosquatting“ со користење на преку 200 домени кои се маскираат како страници на 27 брендови, каде посетителите преземаат разни малициозни софтвери за Windows и Android.
„Typosquatting“ е стар метод на измама кој има за цел да ги привлече луѓето на лажна веб-страница со тоа што измамниците ќе регистрираат име на домен слично на она што го користи вистинскиот бренд.
Домените што се користат во оваа кампања се многу слични на вистинските, со замена на една буква или дополнителна буква. Покрај тоа, лажните веб-страници се копии на оригиналот или барем доволно убедливи дека нема малку да ги предупредат потенцијалните жртви дека се на погрешно место.
Жртвите обично завршуваат на овие страници со погрешно внесување на името на веб-страницата што сакаат да ја посетат во лентата за адреси на прелистувачот, што не е невообичаено кога пишуваат на мобилен телефон.
Сепак, корисниците може да бидат доведени до овие страници и преку е-пошта или СМС, директни пораки, објави на социјалните мрежи и форуми и други средства.
Некои од злонамерните страници беа откриени од фирмата за сајбер безбедност Cyble, која забележа домени кои имитираат популарни продавници за апликации за Android, како што се Google Play, APKCombo и APKPure, како и порталите за преземање апликации PayPal, VidMate, Snapchat и TikTok. Payce-google[.]com го имитира Google Wallet, snanpckat-apk[.]com имитира Snapchat, vidmates-app[.]com имитира VidMate, paltpal-apk[.]com PayPal, m-apkpures[.]com имитира APKPure tlktok-apk[.]link портал за преземање на апликацијата TikTok.
Во сите овие случаи, малициозен софтвер доставен до корисниците кои се обидуваат да преземат АПК е ERMAC, банкарски тројанец кој цели на банкарски сметки и паричници со криптовалути од 467 апликации.
BleepingComputer откри многу поголема кампања за „typosquatting“ од истите оператори, која дистрибуира малициозен софтвер на Windows. Оваа кампања користи повеќе од 90 веб-страници кои имитираат сајтови на повеќе од 27 популарни брендови, а целите на оваа кампања се да ги зарази уредите на корисниците на Windows со малициозен софтвер, да ги украде клучевите за враќање на криптовалутите и да дистрибуира малициозен софтвер на Android.
Една од лажните страници беше претставена како страница на многу популарниот уредувач на текст Notepad++. Овој лажен сајт го користи доменот „notepads-plus-plus[.]org“, кој има само една буква „s“ повеќе од автентичната локација „notepad-plus-plus.org“. Датотеките што корисниците ги преземаат од оваа страница го инсталираат малициозен софтвер за крадење информации Vidar Stealer.
BleepingComputer, исто така, забележал лажен Tor Project сајт кој го користи доменот „tocproject.com“. Во овој случај, веб-страницата ги инфицира уредите на посетителите со keylogger на Agent Tesla и RAT.
Некои од многу популарните софтвери што се користат во оваа кампања како сајтови за мамки се: thundersbird[.]org (Thunderbird), codevisualstudio[.]org маскиран како страница на Microsoft Visual Studio Code, braves-browsers[.]org (Храбар веб-прелистувач). Сите три страници ги инфицираат компјутерите на посетителите со малициозен софтвер Vidar Stealer.
Разновидноста на малициозен софтвер доставен до жртвите може да укаже дека операторите на кампањите експериментираат со различен малициозен софтвер за да видат што функционира најдобро.
Некои од овие сајтови се насочени и кон паричници со криптовалути.
Прелистувачите како Google Chrome и Microsoft Edge имаат заштита од печатење. Меѓутоа, во овие случаи тие не блокираа ниту еден од домените.
За да се заштитите од такви напади, најдобриот начин да пронајдете легитимен сајт е да пребарувате одредена марка во пребарувачот. Избегнувајте реклами што се прикажуваат во резултатите од пребарувањето, бидејќи имало многу случаи кога рекламите ги наведувале луѓето кон лажни веб-страници.