Uwaga na typosquatting. Cyberprzestępcy podszywają się pod znane marki

Typosquattingto metoda szeroko stosowana wśród cyberprzestępców. Polega ona na rejestrowaniu adresów internetowych łudząco podobnych do adresu URL strony docelowej. Całe oszustwo opiera się na stosowaniu w adresie prostych błędów literowych celem zmylenia użytkowników i ściągnięcia ich na złośliwą witrynę.Podrobione witryny zazwyczaj są mniej lub bardziej wiernym odwzorowaniem oryginału, zatem użytkownik często nie orientuje się, że znajduje się na niewłaściwej stronie. Aby trafić na taką witrynę, często wystarczy błędnie wpisać docelowy adres URL w pasku przeglądarki. Ponadto wiele ofiar jest kierowanych na tego typu strony za pośrednictwem wiadomości phishingowych.

Serwis Bleeping Computer poinformował o trwającej kampanii typosquattingowej wykorzystującej ponad 200 fałszywych domen. Na ten moment wiadome jest, że cyberprzestępcy podszywają się w ten sposób pod 27 marek. Celem tego działania jest infekowanie systemów Windows i Android złośliwym oprogramowaniem, w tym trojanem bankowym ERMAC .

Organizacja Cyble Research & Intelligence Labs (CRIL) opublikowała raport dotyczący kampanii, w której cyberprzestępcy podszywają się m.in. pod Portfel Google, PayPal, Google Play czy Snapchat.

Fałszywa witryna PayPal. Źródło: Cyble

Fałszywa witryna Snapchat. Źródło: Cyble

Inne domeny wykorzystywane w opisywanej kampanii to m.in.: "payce-google[.]com"  - witryna podszywająca się pod Portfel Google, "vidmates-app[.]com", która udaje VidMate czy "tlktok-apk[.]link" – witryna podszywająca się pod stronę pobierania aplikacji TikTok.

Na powyższych przykładach doskonale widać, że typosquatting bazuje na ludzkim błędzie.Fałszywe witryny rejestrowane są z zastosowaniem bardzo prostych błędów, często niezauważalnych na pierwszy rzut oka. We wszystkich tych przypadkach próba pobrania legalnego oprogramowania kończy się pobraniem pakietu APK zawierającego trojana bankowego ERMAC.

Podczas gdy raport Cyble skupiony jest na złośliwym oprogramowaniu na Androida, Bleeping Computer odkrył znacznie większą kampanię typosquattingu pochodzącą od tych samych operatorów.  Kampania wymierzona w użytkowników systemu Windows skupia się wokół ponad 90 witryn podszywających się pod co najmniej 27 popularnych marek.  Także i w tym przypadku celem cyberprzestępców jest dystrybucja malware, a ponadto kradzież poświadczeń (np. fraz seed przypisanych do portfeli kryptowalutowych).

Ciekawym przykładem może być strona "notepads-plus-plus[.]org", czyli prawie idealna podróbka witryny umożliwiającej pobranie popularnego edytora. W tym przypadku podróbka od oryginału różni się jedną literą. Próba pobrania Notepada++ z zainfekowanej strony skutkuje instalacją malware Vidar Stealer. Na marginesie, rozmiar pobieranego pliku celowo jest powiększony do 700 MB, aby uniknąć wykrycia.