Массовый рэкет Typosquatation распространяет вредоносное ПО среди пользователей Windows и Android

По данным компании по анализу угроз и веб-сайта кибербезопасности, масштабная фишинговая кампания, основанная на опечатках, нацелена на пользователей Windows и Android с вредоносным ПО.

Кампания, которая в настоящее время проводится, использует более 200 доменов с опечатками, которые выдают себя за 27 брендов, чтобы обмануть веб-серферов и заставить их загрузить вредоносное программное обеспечение на свои компьютеры и телефоны, сообщило BleepingComputer в воскресенье.

На прошлой неделе компания Cyble, специализирующаяся на анализе угроз, рассказала об этой кампании в своем блоге. Сообщается, что фишинговые веб-сайты обманом заставляют посетителей загружать поддельные приложения для Android, выдающие себя за Google Wallet, PayPal и Snapchat, которые содержат банковский троян ERMAC.

BleepingComputer пояснил, что, хотя Cyble сосредоточился на вредоносном ПО для Android, гораздо более масштабная операция, нацеленная на Windows, разворачивается теми же злоумышленниками. Эта кампания включает более 90 веб-сайтов, созданных для распространения вредоносных программ и кражи ключей восстановления криптовалюты.

Typosquatting — это старый метод перенаправления путешественников из киберпространства на вредоносные веб-сайты. В этой кампании, как пояснил BleepingComputer, используемые домены очень близки к исходным: одна буква заменена на домен или добавлена буква «s».

Фишинговые сайты также выглядят подлинными, добавил он. Они либо клоны настоящих сайтов, либо достаточно подделки, чтобы обмануть случайного посетителя.

Как правило, жертвы попадают на сайты, делая опечатку в URL-адресе, введенном в адресной строке браузера, но иногда URL-адреса вставляются в электронные письма, SMS-сообщения и социальные сети.

«Типосквоттинг — это не новость, — сказал Шеррод ДеГриппо, вице-президент по исследованию и обнаружению угроз в Proofpoint, компании по обеспечению корпоративной безопасности в Саннивейле, Калифорния.

«Goggle.com отправлял случайных посетителей на вредоносный сайт с попутной загрузкой вредоносных программ еще в 2006 году», — сказал ДеГриппо TechNewsWorld.

Необычный масштаб

Хотя в кампании используются проверенные методы фишинга, у нее есть некоторые отличительные черты; Об этом TechNewsWorld сообщили эксперты по безопасности.

«Масштабы этой кампании необычны, даже несмотря на то, что техника старомодна», — заметил Майк Паркин, старший технический инженер Vulcan Cyber, поставщика SaaS для устранения корпоративных киберрисков в Тель-Авиве, Израиль.

«Эта конкретная кампания кажется гораздо более масштабной, чем типичные попытки опечатки», — добавил Джеррод Пайкер, аналитик конкурентной разведки из Deep Instinct, компании по кибербезопасности с глубоким обучением в Нью-Йорке.

Сосредоточение внимания на мобильных приложениях — это еще одно отклонение от нормы, отмечает Грейсон Милбурн, директор по безопасности в OpenText Security Solutions, компании, занимающейся обнаружением и реагированием на глобальные угрозы.

«Нацеливание на мобильные приложения и связанные с ними веб-сайты с целью распространения вредоносных приложений для Android не является чем-то новым, но не таким распространенным явлением, как опечатка, нацеленная на веб-сайты с программным обеспечением Windows», — сказал он.

Что интересно в этой кампании, так это ее зависимость как от опечаток, допущенных пользователями, так и от преднамеренной доставки вредоносных URL-адресов целям, отмечает Хэнк Шлесс, старший менеджер по решениям безопасности в Lookout, поставщике решений для мобильного фишинга из Сан-Франциско.

«Похоже, это хорошо продуманная кампания с высокими шансами на успех, если у человека или организации нет надлежащей безопасности», — сказал он.

Почему опечатка работает

Фишинговые кампании, использующие типосквоттинг, не обязательно должны быть инновационными, чтобы добиться успеха, считает Роджер Граймс, евангелист по вопросам защиты в KnowBe4, поставщике учебных курсов по вопросам безопасности в Клируотере, штат Флорида.

«Все кампании по опечаткам достаточно эффективны и не требуют дополнительных или новых уловок», — сказал он TechNewsWorld. «И есть много продвинутых трюков, таких как гомоглифические атаки, которые добавляют еще один слой, который может обмануть даже экспертов».

Гомоглифы — это символы, похожие друг на друга, такие как буква O и ноль (0) или прописная буква I и строчная буква l (EL), которые выглядят одинаково в шрифте без засечек, таком как Calibri.

«Но вы не найдете тонны этих более продвинутых атак, потому что они не нужны для успеха», — продолжил Граймс. «Зачем много работать, если можно работать легко?»

Typosquatation работает из-за доверия, утверждает Абхай Бхаргав, генеральный директор AppSecEngineer, поставщика услуг по обучению безопасности в Сингапуре.

«Люди настолько привыкли видеть и читать известные имена, что думают, что сайт, приложение или программный пакет с почти таким же названием и с тем же логотипом — это то же самое, что и исходный продукт», — сказал Бхаргав TechNewsWorld.

«Люди не задумываются о незначительных несоответствиях в правописании или несоответствиях в доменах, которые отличают оригинальный продукт от подделки», — сказал он.

Некоторые регистраторы доменов заслуживают порицания

Пайкер объяснил, что при вводе URL-адреса очень легко «помазать пальцем», поэтому PayPal становится PalPay.

«Он получит множество просмотров, — сказал он, — тем более, что атаки с опечатками обычно представляют собой веб-страницу, которая, по сути, является клоном оригинала».

«Злоумышленники также захватывают несколько похожих доменов, чтобы убедиться, что множество разных опечаток совпадут», — добавил он.

Нынешние системы регистрации доменов также не помогают делу, утверждает Граймс.

«Проблема усугубляется тем, что некоторые службы позволяют плохим веб-сайтам получать сертификаты домена TLS/HTTPS, что, по мнению многих пользователей, означает, что веб-сайт безопасен и надежен», — пояснил он. «Более 80% вредоносных веб-сайтов имеют цифровой сертификат. Это высмеивает всю систему инфраструктуры открытых ключей».

«Кроме того, — продолжила Граймс, — система именования доменов в Интернете сломана, что позволяет явно мошенническим регистраторам доменов в Интернете разбогатеть, регистрируя домены, которые, как легко увидеть, будут использоваться в какой-то атаке по ложному направлению. Стимулы прибыли, которые вознаграждают регистраторов за то, что они смотрят в другую сторону, являются большой частью проблемы».

Мобильные браузеры более восприимчивы

Форм-факторы оборудования также могут способствовать возникновению проблемы.

«Типосквоттинг намного эффективнее на мобильных устройствах, потому что мобильные операционные системы устроены таким образом, чтобы упростить взаимодействие с пользователем и свести к минимуму беспорядок на маленьком экране», — пояснил Шлесс.

«Мобильные браузеры и приложения сокращают URL-адреса, чтобы улучшить взаимодействие с пользователем, поэтому жертва может не увидеть полный URL-адрес, не говоря уже о том, чтобы обнаружить в нем опечатку», — продолжил он. «Люди обычно не просматривают URL-адрес на мобильных устройствах, что они могут сделать на компьютере, наведя на него курсор».

Typosquatting определенно более эффективен для фишинга на мобильных телефонах, потому что URL-адреса не полностью видны, соглашается Сильвесттер Себени, директор по информационной безопасности и соучредитель Tresorit, компании, занимающейся решениями для обеспечения безопасности на основе шифрования электронной почты в Цюрихе.

«Для запуска троянов не так много, потому что люди обычно используют приложения или магазины игр», — сказал он TechNewsWorld.

Как защититься от опечаток

Чтобы не стать жертвой фишинга с опечатками, Пайкер рекомендовал пользователям никогда не переходить по ссылкам в SMS-сообщениях или электронных письмах от неизвестных отправителей.

Он также посоветовал быть осторожным при вводе URL-адресов, особенно на мобильных устройствах.

ДеГриппо добавил: «В случае сомнений пользователь может напрямую ввести в Google установленное доменное имя, а не переходить по прямой ссылке».

Тем временем Шлесс предложил людям меньше доверять своим мобильным устройствам.

«Мы знаем, что на наши компьютеры нужно устанавливать решения для защиты от вредоносных программ и фишинга, но мы так доверяем мобильным устройствам, что считаем, что нет необходимости делать то же самое на устройствах iOS и Android», — сказал он.

«Эта кампания — один из бесчисленных примеров того, как злоумышленники используют это доверие против нас, — отметил он, — что показывает, почему так важно иметь защитное решение, созданное специально для мобильных угроз на вашем смартфоне и планшете».

Безопасность
Дата публикации: 2022.11.18