La campagna Typosquat imita 27 marchi per spingere Malware Windows ed Android
Pubblicato da Angelo Domeneghini in Adware - Malware - Phishing - Ransomware - Spoofing - Trojan · 24 Ottobre 2022
Tags: #malware, #windows, #android, #sicurezza, #privacy
Tags: #malware, #windows, #android, #sicurezza, #privacy
La campagna Typosquat imita 27 marchi per spingere Malware Windows ed Android
È in corso una massiccia campagna dannosa che utilizza oltre 200 domini di typosquatting che impersonano ventisette marchi per indurre i visitatori a scaricare vari malware per Windows ed Android.
Il typosquatting è un vecchio metodo per indurre le persone a visitare un sito Web falso registrando un nome di dominio simile a quello utilizzato dai marchi autentici.
I domini utilizzati in questa campagna sono molto simili a quelli autentici, con uno scambio di posizione di una singola lettera o una "s" aggiuntiva, che li rende facili da perdere per le persone.
In termini di apparenza, nella maggior parte dei casi visti da BleepingComputer, i siti Web dannosi sono cloni degli originali o almeno abbastanza convincenti, quindi non c'è molto da svelare la frode.
Le vittime in genere finiscono su questi siti digitando in modo errato il nome del sito Web che desiderano visitare nella barra degli URL del browser, il che non è raro quando si digita su dispositivo mobile.
Tuttavia, gli utenti potrebbero anche essere indirizzati su questi siti tramite e-mail o SMS di phishing, messaggi diretti, social media dannosi e post sui forum e altri modi.
Una vasta rete di siti falsi
Alcuni dei siti dannosi sono stati scoperti dalla società di cyber intelligence Cyble, che questa settimana ha pubblicato un rapporto incentrato sui domini che imitano i popolari app store Android come Google Play, APKCombo e APKPure, nonché sui portali di download per PayPal, VidMate, Snapchat e Tic toc.
Alcuni dei domini utilizzati a questo scopo sono:
payce-google[.]com – impersona Google Wallet
snanpckat-apk[.]com – impersona Snapchat
vidmates-app[.]com – impersona VidMate
paltpal-apk[.]com – impersona PayPal
m-apkpures[.]com – impersona APKPure
tlktok-apk[.]link – impersona il portale di download per l'app TikTok
In tutti questi casi, il malware consegnato agli utenti che tentano di scaricare gli APK è ERMAC, un trojan bancario che prende di mira conti bancari e portafogli di criptovaluta da 467 app.
Parte di una campagna molto più ampia
Mentre il rapporto di Cyble si concentrava sul malware Android della campagna, BleepingComputer ha rilevato una campagna di typosquatting molto più ampia degli stessi operatori, che distribuiva malware Windows.
Questa campagna è composta da oltre 90 siti Web creati per impersonare oltre ventisette marchi famosi per distribuire malware per Windows, rubare chiavi di ripristino di criptovaluta e, come descritto sopra, inviare malware Android.
Categoria Marchi impersonati
App e servizi mobili TikTok
Vidmate
Snapchat
Paypal
APK puro
APKCombo
Google Wallet
Software Microsoft Visual Studio
Browser coraggioso
Thunderbird
Blocco note+
Tor Browser
Criptovaluta TronLink
MetaMaschera
Fantasma
Portafoglio Cosmo
Contabile
Etermina
GenoPets
Visualizzazione del trading di criptovalute e azioni
Opzione QI
Ninja Trader
Tiger.Trade
Siti web Figma
Casinò Quatro
Grande tempo
CS: Soldi
Un esempio notevole di uno di questi siti di typosquat è per il popolare editor di testo Notepad ++. Questo sito falso utilizza il dominio "notepads-plus-plus[.]org", che è solo un carattere lontano dall'autentico su "notepad-plus-plus.org".
I file di questo sito installano il malware per il furto di informazioni Vidar Stealer, la cui dimensione è stata gonfiata a 700 MB per eludere l'analisi.
Un altro sito scoperto da BleepingComputer impersona il Tor Project utilizzando il dominio "tocproject.com". In questo caso, il sito Web rilascia il keylogger dell'Agente Tesla e RAT.
Scavando più a fondo nel lungo elenco di domini, abbiamo trovato diversi software mirati come:
thundersbird[.]org – Impersona la popolare suite di posta elettronica open source Thunderbird, eliminando Vidar Stealer
codevisualstudio[.]org – Impersona il codice di Visual Studio di Microsoft per eliminare Vidar
braves-browsers[.]org – Impersona il browser Web Brave per rilasciare Vidar
La varietà delle famiglie di malware consegnate alle vittime può indicare che gli operatori della campagna sperimentano vari ceppi per vedere cosa funziona meglio.
Un'altra parte di questi siti prende di mira portafogli di criptovaluta e frasi iniziali, un'attività molto redditizia per gli attori delle minacce.
Ad esempio, BleepingComputer ha trovato "ethersmine[.]com", che tenta di rubare la frase seed del portafoglio Ethereum del visitatore.
Altri siti nella campagna prendono di mira i detentori di criptovaluta e gli investitori di asset digitali che impersonano i popolari portafogli crittografici, app di trading e siti NFT.
Naturalmente, gli attori delle minacce utilizzano più varianti di ciascun dominio per coprire il maggior numero possibile di errori di tipo, quindi questi domini sono solo un piccolo campione dell'intera rete di domini utilizzati nella campagna.
Alcuni browser come Google Chrome e Microsoft Edge includono la protezione da typosquatting. Tuttavia, nei nostri test, i browser non hanno bloccato nessuno dei domini che abbiamo testato.
Per proteggersi dal typosquatting domini, il metodo migliore per trovare un sito legittimo è cercare un particolare marchio in un motore di ricerca.
Tuttavia si dovrebbe evitare di fare clic sugli annunci mostrati nei risultati di ricerca, poiché ci sono stati molti casi in cui vengono creati annunci dannosi per impersonare un sito reale.