С помощью Google вымышленный сайт Brave.com распространяет вредоносное ПО

Была раскрыта мошенническая схема, в которой мошенники вводили в заблуждение пользователей интернета, выдавая себя за веб-сайт браузера Brave, а для массового распространения и продвижения вредоносных программ, которые после попадания на ПК контролируют браузеры и крадут конфиденциальные данные, использовали рекламные объявления Google .

Атака сработала путем регистрации домена xn--brav-yva[.]com, кодированной строки, которая использует так называемый punycode для представления bravė[.]com, имя, которое при отображении в адресных строках браузера до смешного похоже на brave.com, где люди могли скачать браузер Brave. Bravė[.]com (обратите внимание на ударение над буквой E) был почти идеальной копией brave.com, за одним важным исключением: кнопка “Загрузить” загружала файл, в котором установлена вредоносная программа, известная как ArechClient и SectopRat. А с действующим сертификатом TLS поддельный Bravė.com мог ввести в заблуждение даже тех, кто разбирается в безопасности.

fake brave site 640x299 1

Чтобы привлечь трафик на поддельный сайт, мошенники заказывали рекламу в Google, которая отображалась, когда люди искали что-то в браузерах. Реклама выглядела достаточно безобидной. Как показано на изображениях ниже, домен, показанный для одного объявления, был mckelveytees.com, сайт, который продает одежду для профессионалов.

malicious google ad 02

Но когда люди нажимали на любое из объявлений, то оно переадресовывало их через несколько промежуточных доменов, на bravė[.]com. Джонатан Сэмпсон, веб-разработчик, работающий над Brave, сказал, что файл, доступный для загрузки, представлял собой ISO-образ размером 303 МБ, внутри которого был исполняемый файл.

VirusTotal сразу же показал несколько сканирований антивирусным программным обеспечением, которое сразу обнаруживало заражение в ISO и EXE. На момент публикации этого поста, в режиме реального времени, в ISO-образе было обнаружено восемь восемь вредоносных включений, а в исполняемом EXE файле-16.

Обнаруженная вредоносная программа имеет несколько названий, в том числе ArechClient и SectopRat. Анализ 2019 года, проведенный фирмой по безопасности G Data, показал, что это был троянец удаленного доступа, способный создавать потоковую передачу с текущего рабочего стола пользователя или же создавать второй невидимый рабочий стол, который злоумышленники могли использовать для просмотра Интернета.

В последующем анализе, опубликованном в феврале, G Data сообщила, что вредоносное ПО было обновлено для добавления новых функций и возможностей, включая зашифрованную связь с серверами управления, контролируемыми злоумышленниками. Отдельный анализ показал, что у ПО были “такие возможности, как подключение к серверу C2, Профилирование системы, Кража истории браузеров Chrome и Firefox”.

Как видно из поиска по DNS от DNSDB Scout, на IP-адресе, котором размещался поддельный сайт Brave, размещались и другие подозрительные домены punycode, в том числе xn--ldgr-xvaj.com, xn--sgnal-m3a.com, xn--teleram-ncb.com, и xn--brav-8va.com. Которые переводятся в lędgėr.com, sīgnal.com teleģram.com, и bravę.com, соответственно. Все домены были зарегистрированы через NameCheap.

passive dns search 640x286 1

Мартиин Грутен, руководитель отдела исследований угроз intel в охранной фирме Silent Push, задался вопросом, не размещал ли злоумышленник, стоящий за этой аферой, другие похожие сайты на других IP-адресах. Используя продукт Silent Push, он искал другие домены punycode, зарегистрированные через NameCheap и использующие тот же веб-хост. Он зашел еще на семь сайтов, которые также были подозрительными.

Результатом перевода доменов являются:

  • xn--screncast-ehb.com - screēncast.com
  • xn--flghtsimulator-mdc.com - flīghtsimulator.com.
  • xn--brav-eva.com - bravē.com
  • xn--xodus-hza.com - ēxodus.com
  • xn--tradingvew-8sb.com - tradingvīew.com
  • xn--torbrwser-zxb.com - torbrōwser.com
  • xn--tlegram-w7a.com - tēlegram.com

Google удалил вредоносную рекламу, как только Brave привлекла к ней внимание компании. Регистратор доменных имен NameCheap сразу же после получения уведомления удалил вредоносные домены .

Но самым опасным является то, что такие сайты действительно очень сложно обнаружить. Поскольку злоумышленник имеет полный контроль над доменом punycode, сайт-самозванец будет иметь действительный сертификат TLS. А когда на этом домене размещена точная копия поддельного веб-сайта, то это способно ввести в заблуждение даже людей, которые не по наслышке знают о безопасности в интернете.

К нашему сожалению, на данный момент, нет никаких четких способов избежать таких угроз, кроме как потратить несколько дополнительных секунд на проверку URL-адреса, на то, как именно он отображается в адресной строке.

Атаки с использованием доменов на основе punycode не являются чем-то новым. Олицетворение на этой неделе Brave.com предполагает, что они и не выйдут из моды в ближайшее время.

Вас могут заинтересовать:

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии