Сотни доменных имен задействованы в масштабной мошеннической кампании

Компания Cyble, специализирующаяся в области обеспечения кибербезопасности, сообщила о раскрытии масштабной мошеннической операции. Ее организаторы зарегистрировали сотни доменных имен, сходных в написании с наименованиями известных брендов. Этот весьма старый прием носит название «тайпсквоттинг» (typosquatting) и остается весьма эффективным. Не слишком внимательные пользователи не обращают внимание на 1-2 буквы, которыми имя домена отличается от домена официального сайта того или иного бренда – и оказываются в результате на вредоносных ресурсах.

Как сообщает ресурс Bleeping Computer, к настоящему времени специалистам Cyble удалось выявить более 200 доменных имен, которые имитируют наименования 27 популярных брендов. Среди них, например, payce-google.com (выдается за кошелек Google Wallet), snanpckat-apk.com (выдается за SnapChat), paltpal-apk.com (имитирует PayPal), tlktok-apk.link (имитирует TikTok) и т.д. Все эти домены ведут на сайты, откуда осуществляется загрузка вредоносного ПО ERMAC – банковского троянца, способного похищать учетные данные сервисов онлайн-банкинга и криптовалютных кошельков из 467 различных приложений.

Помимо этого, тайпсквоттинговые домены используются для инфицирования пользовательских устройств на ОС Windows и Android зловредом Vidar Stealer для похищения данных и троянцем удаленного доступа Agent Tesla. Исследователи отмечают, что мошенники используют несколько разновидностей каждого домена с различными «опечатками». Это позволяет им быстро переводить свою деятельность на другой домен, после того как предыдущий оказывается заблокирован.

Источник: Координационный центр национального домена сети Интернет