- Сравнение
- Вычисление
- Киберпреступники манипулируют сайтом браузера Brave для распространения вредоносного ПО
Киберпреступники были пойманы, выдавая себя за ориентированный на конфиденциальность браузерный сайт Brave, чтобы заразить ничего не подозревающих пользователей вредоносным ПО. Как сообщает Ars Technica, киберпреступники после атаки впервые зарегистрировали домен xn - brav-yvacom, который использует punycode для обозначения bravėcom. Помимо акцента на «е», у этого места есть домен, который очень похож на сайт Brave (bravecom). Пользователям, посетившим поддельный сайт, было бы довольно сложно определить разницу между двумя сайтами, поскольку киберпреступники имитировали внешний вид настоящего сайта Brave. Единственная реальная разница заключается в том, что в тот момент, когда пользователь нажимает кнопку «Загрузить Brave», вместо браузера загружается вредоносное ПО под названием ArechClient и SectopRat. Чтобы привлечь трафик на свой поддельный сайт, киберпреступники приобрели рекламу в Google, которая отображалась, когда пользователи выполняли поиск в браузерах. Хотя сами объявления не казались опасными, они были из домена mckelveyteescom, а не valientecom. Нажав на любое из этих объявлений, пользователи будут перенаправлены на несколько разных доменов, прежде чем в конечном итоге попадут на bravėcom.
Домены Punycode
По словам Джонатана Сэмпсона, который работает веб-разработчиком в Brave, поддельные сайты обманом заставляли пользователей загружать ISO-образ размером XNUMX МБ, содержащий один исполняемый файл. Хотя вредоносное ПО, распространяемое bravėcom, известно как ArechClient и SectopRat, анализ, проведенный компанией по кибербезопасности G Data в XNUMX году, показал, что это троян удаленного доступа (RAT), способный распространять текущий рабочий стол пользователя и создавать второй невидимый рабочий стол, который злоумышленники могут использовать. Однако с момента его выпуска киберпреступники, стоящие за вредоносной программой, добавили новые функции, в том числе зашифрованную связь с C&C-серверами, например, возможность украсть историю браузера пользователя из Google Chrome и Mozilla Firefox. Мартин Гутен, руководитель отдела исследования угроз в компании по кибербезопасности Silent Push, провел расследование, чтобы выяснить, зарегистрировали ли киберпреступники, стоящие за этой кампанией, другие сайты-единомышленники для запуска новых атак. Затем он просмотрел другие домены punycode, зарегистрированные через регистратора доменов NameCheap, чтобы обнаружить, что поддельные сайты были зарегистрированы для Tor Browser, Telegram и других популярных сервисов. Чтобы не стать жертвой этой кампании и других связанных с ней атак, пользователям следует внимательно проверять веб-адреса каждого сайта, который они посещают, в адресной строке браузера. Хотя это может быть скучно, на сегодняшний день это единственный способ легко предупредить связанные сайты, которые могут использоваться для распространения вредоносных программ и других вирусов. Виа Арс Техника