Cyberzagrożenia, Główna

Uwaga na typosquatting. Cyberprzestępcy podszywają się pod znane marki

Czas czytania: 3 min

Typosquatting to metoda szeroko stosowana wśród cyberprzestępców. Polega ona na rejestrowaniu adresów internetowych łudząco podobnych do adresu URL strony docelowej. Całe oszustwo opiera się na stosowaniu w adresie prostych błędów literowych celem zmylenia użytkowników i ściągnięcia ich na złośliwą witrynę. Podrobione witryny zazwyczaj są mniej lub bardziej wiernym odwzorowaniem oryginału, zatem użytkownik często nie orientuje się, że znajduje się na niewłaściwej stronie. Aby trafić na taką witrynę, często wystarczy błędnie wpisać docelowy adres URL w pasku przeglądarki. Ponadto wiele ofiar jest kierowanych na tego typu strony za pośrednictwem wiadomości phishingowych.

Serwis Bleeping Computer poinformował o trwającej kampanii typosquattingowej wykorzystującej ponad 200 fałszywych domen. Na ten moment wiadome jest, że cyberprzestępcy podszywają się w ten sposób pod 27 marek. Celem tego działania jest infekowanie systemów Windows i Android złośliwym oprogramowaniem, w tym trojanem bankowym ERMAC.

Typosquatting a użytkownicy Androida

Organizacja Cyble Research & Intelligence Labs (CRIL) opublikowała raport dotyczący kampanii, w której cyberprzestępcy podszywają się m.in. pod Portfel Google, PayPal, Google Play czy Snapchat.

PayPal typosquatting
Fałszywa witryna PayPal. Źródło: Cyble

 

Snapchat Typosquatting
Fałszywa witryna Snapchat. Źródło: Cyble

Inne domeny wykorzystywane w opisywanej kampanii to m.in.: “payce-google[.]com”  – witryna podszywająca się pod Portfel Google, “vidmates-app[.]com”, która udaje VidMate czy “tlktok-apk[.]link” – witryna podszywająca się pod stronę pobierania aplikacji TikTok.

Na powyższych przykładach doskonale widać, że typosquatting bazuje na ludzkim błędzie. Fałszywe witryny rejestrowane są z zastosowaniem bardzo prostych błędów, często niezauważalnych na pierwszy rzut oka. We wszystkich tych przypadkach próba pobrania legalnego oprogramowania kończy się pobraniem pakietu APK zawierającego trojana bankowego ERMAC.

Zagrożeni również użytkownicy Windowsa

Podczas gdy raport Cyble skupiony jest na złośliwym oprogramowaniu na Androida, Bleeping Computer odkrył znacznie większą kampanię typosquattingu pochodzącą od tych samych operatorów.  Kampania wymierzona w użytkowników systemu Windows skupia się wokół ponad 90 witryn podszywających się pod co najmniej 27 popularnych marek.  Także i w tym przypadku celem cyberprzestępców jest dystrybucja malware, a ponadto kradzież poświadczeń (np. fraz seed przypisanych do portfeli kryptowalutowych).

Ciekawym przykładem może być strona “notepads-plus-plus[.]org”, czyli prawie idealna podróbka witryny umożliwiającej pobranie popularnego edytora. W tym przypadku podróbka od oryginału różni się jedną literą. Próba pobrania Notepada++ z zainfekowanej strony skutkuje instalacją malware Vidar Stealer. Na marginesie, rozmiar pobieranego pliku celowo jest powiększony do 700 MB, aby uniknąć wykrycia.

notepad typosquatting
Podrobiona witryna pobierania edytora Notepad++. Źródło: Bleeping Computer

Z kolei inna, odkryta przez serwis witryna podszywa się pod Project Tor używając domeny “tocrproject[.]com”. W tym przypadku, zamiast oczekiwanej przeglądarki TOR, możemy pobrać co najwyżej keyloggera Agent Tesla.  Część przeanalizowanych przez Bleeping Computer witryn atakuje dodatkowo portfele kryptowalutowe oraz przypisane do nich frazy seed.

seed phrase typosquatting
Witryna podszywająca się pod Ethermine. Źródło: Bleeping Computer

Podsumowanie

Przeglądarki takie jak Google Chrome czy Microsoft Edge posiadają wbudowaną opcję ochrony przed literówkami w adresie URL. Jak donosi jednak serwis Bleeping Computer, przeglądarki nie blokowały żadnej testowanej domeny. Aby zatem uchronić się przed tego typu zagrożeniami, najlepiej odwiedzać docelowe witryny po wcześniejszym wyszukaniu ich w wyszukiwarce. Należy jednak pamiętać, że reklamy w wynikach wyszukiwania również mogą prowadzić pod złośliwy adres… To jednak temat na inną historię. 😉

Źródło: Bleeping Computer

 





Dodaj komentarz