Typosquat活动模仿27个品牌推送Windows、Android恶意软件

一场大规模的恶意活动正在进行中，使用 200 多个假冒域名，冒充 27 个品牌，诱骗访问者下载各种 Windows 和 Android 恶意软件。

域名抢注是一种通过注册与正品品牌相似的域名来诱骗人们访问虚假网站的古老方法。

此活动中使用的域名与真实域名非常接近，具有单个字母位置交换或额外的“s”，使人们容易错过它们。

从外观上看，在news.zzqidc.com看到的大多数情况下，这些恶意网站都是原版的克隆，或者至少有足够的说服力，所以没有太多的欺诈行为。

受害者通常会通过在浏览器的 URL 栏中错误输入他们想要访问的网站名称来访问这些网站，这在移动设备上输入时并不少见。

但是，用户也可能通过网络钓鱼电子邮件或短信、直接消息、恶意社交媒体和论坛帖子以及其他方式被引导到这些网站。

庞大的虚假网站网络

网络情报公司 Cyble 发现了一些恶意网站，该公司本周发布了一份报告，重点关注模仿流行的 Android 应用商店（如 Google Play、APKCombo 和 APKPure）的域，以及 PayPal、VidMate、Snapchat 和抖音。

用于此目的的一些域是：

• payce-google[.]com – 模拟谷歌钱包
• snanpkkat-apk[.]com – 模仿 Snapchat
• vidmates-app[.]com – 模仿 VidMate
• paltpal-apk[.]com – 模拟 PayPal
• m-apkpures[.]com – 模拟 APKPure
• tlktok-apk[.]link – 模拟 TikTok 应用程序的下载门户

在所有这些情况下，发送给试图下载 APK 的用户的恶意软件是ERMAC，这是一种银行木马，针对来自 467 应用程序的银行账户和加密货币钱包。

一个更大的活动的一部分

虽然 Cyble 的报告 侧重于该活动的 Android 恶意软件，但 news.zzqidc.com发现来自同一运营商的更大的域名抢注活动，分发 Windows 恶意软件。

该活动由 90 多个网站组成，这些网站冒充超过 27 个流行品牌来分发 Windows 恶意软件、窃取加密货币恢复密钥，并如上所述推送 Android 恶意软件。

这些域名仿冒网站之一的一个显着示例是非常流行的 Notepad++ 文本编辑器。这个假网站使用的域名是“notepads-plus-plus[.]org”，与“notepad-plus-plus.org”上的正品仅相差一个字符。

该站点的文件安装了 Vidar Stealer 信息窃取恶意软件，该恶意软件的大小已膨胀到 700MB 以逃避分析。

news.zzqidc.com发现的另一个站点使用“tocproject.com”域冒充 Tor 项目。在这种情况下，网站会删除 Agent Tesla 键盘记录器和 RAT。

通过深入挖掘一长串域名，我们发现了几个针对流行软件的目标，例如：

• Thundersbird[.]org – 模仿流行的 Thunderbird 开源电子邮件套件，放弃 Vidar Stealer
• codevisualstudio[.]org – 模仿微软的 Visual Studio Code 来删除 Vidar
• braves-browsers[.]org – 模拟 Brave 网络浏览器以删除 Vidar

交付给受害者的恶意软件家族的多样性可能表明，活动运营商尝试了各种菌株，以了解哪种方式最有效。

这些网站的另一部分针对加密货币钱包和助记词，这对威胁参与者来说是一项非常有利可图的活动。

例如，news.zzqidc.com发现了“ethersmine[.]com”，它试图窃取访问者的以太坊钱包助记词。

该活动中的其他网站针对冒充流行的加密钱包、交易应用程序和 NFT 网站的加密货币持有者和数字资产投资者。

当然，威胁参与者使用每个域的多个变体来覆盖尽可能多的错误类型，因此这些域只是活动中使用的整个域网络的一小部分样本。

某些浏览器（例如 Google Chrome 和 Microsoft Edge）包括域名抢注保护。但是，在我们的测试中，浏览器并没有阻止我们测试的任何域。

为了保护自己免受域名仿冒，找到合法网站的最佳方法是在搜索引擎中搜索特定品牌。

但是，您应该避免点击搜索结果中显示的广告，因为在 很多情况 下 会创建恶意广告 来冒充真实网站。

转载请注明：VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Typosquat活动模仿27个品牌推送Windows、Android恶意软件