Ziyaretçileri çeşitli Windows ve Android kötü amaçlı yazılımlarını indirmeleri için kandırmak için yirmi yedi markanın kimliğine bürünen 200’den fazla yazım hatası alan adını kullanan devasa, kötü niyetli bir kampanya yürütülüyor.
Typosquatting, gerçek markaların kullandığına benzer bir alan adı kaydederek insanları sahte bir web sitesini ziyaret etmeleri için kandırmanın eski bir yöntemidir.
Bu kampanyada kullanılan alan adları, tek harfli pozisyon takası veya ek bir “s” içeren, gerçek olanlara çok yakındır ve bu da insanların onları gözden kaçırmasını kolaylaştırır.
Görünüm açısından, çoğu durumda BleepingComputer tarafından görülen kötü niyetli web siteleri orijinallerin klonlarıdır veya en azından yeterince inandırıcıdır, bu nedenle sahtekarlığı ele verecek pek bir şey yoktur.
Kurbanlar genellikle bu sitelere, ziyaret etmek istedikleri web sitesi adını tarayıcının URL çubuğuna yanlış yazarak bulurlar; bu, mobil cihazlarda yazarken nadir görülen bir durum değildir.
Ancak kullanıcılar, kimlik avı e-postaları veya SMS, doğrudan mesajlar, kötü niyetli sosyal medya ve forum gönderileri ve diğer yollarla da bu sitelere yönlendirilebilir.
Geniş bir sahte site ağı
Kötü amaçlı sitelerden bazıları, bu hafta Google Play, APKCombo ve APKPure gibi popüler Android uygulama mağazalarını taklit eden alanlara odaklanan bir rapor yayınlayan siber istihbarat firması Cyble tarafından keşfedildi. TikTok.
Bu amaçla kullanılan alan adlarından bazıları şunlardır:
- payce-google[.]com – Google Cüzdan’ın kimliğine bürünür
- snanpckat-apk[.]com – Snapchat’i taklit eder
- vidmates-app[.]com – VidMate’i taklit eder
- paltpal-apk[.]com – PayPal’ın kimliğine bürünür
- m-apkpures[.]com – APKPure’ı taklit eder
- tlktok-apk[.]bağlantı – TikTok uygulaması için indirme portalını taklit eder
Tüm bu durumlarda, APK’ları indirmeye çalışan kullanıcılara gönderilen kötü amaçlı yazılım, ERMAC467 uygulamadan bankacılık hesaplarını ve kripto para cüzdanlarını hedefleyen bir bankacılık truva atı.
Çok daha büyük bir kampanyanın parçası
Süre Cyble’ın raporu kampanyanın Android kötü amaçlı yazılımına odaklanan BleepingComputer, aynı operatörlerin Windows kötü amaçlı yazılımını dağıtan çok daha büyük bir yazım hatası kampanyası buldu.
Bu kampanya, Windows kötü amaçlı yazılımlarını dağıtmak, kripto para birimi kurtarma anahtarlarını çalmak ve yukarıda açıklandığı gibi Android kötü amaçlı yazılımlarını zorlamak için yirmi yediden fazla popüler markanın kimliğine bürünmek üzere oluşturulmuş 90’dan fazla web sitesinden oluşur.
Kategori | Taklit Edilen Markalar |
Mobil Uygulamalar ve Hizmetler | TikTok Vidmate Anlık Sohbet paypal APK Saf APKCombo Google cüzdanı |
Yazılım | Microsoft Visual Studio Cesur Tarayıcı ThunderKuş Not Defteri+ Tor tarayıcısı |
Kripto para | TronLink metamaske hayalet Cosmos Cüzdanı Darphane etermin GenoEvcil Hayvanlar |
Kripto ve Hisse senedi ticareti | Ticaret Görünümü IQ Seçeneği NinjaTrader Kaplan.Ticaret |
Web siteleri | Figma Dört Kumarhane Büyük zaman CS:Para |
Bu yazım hatası sitelerinden birinin dikkate değer bir örneği, çok popüler Notepad++ metin düzenleyicisidir. Bu sahte site “notepads-plus-plus” alan adını kullanıyor.[.]org”, “notepad-plus-plus.org” adresindeki özgünlükten yalnızca bir karakter uzaktadır.
Bu sitedeki dosyalar, analizden kaçmak için boyutu 700 MB’a şişirilmiş olan Vidar Stealer bilgi çalan kötü amaçlı yazılımı yükler.
BleepingComputer tarafından keşfedilen başka bir site, “tocproject.com” etki alanını kullanarak Tor Projesi’nin kimliğine bürünüyor. Bu durumda, web sitesi Agent Tesla keylogger ve RAT’ı düşürür.
Uzun alan adları listesinin derinliklerine inerek, aşağıdakiler gibi birkaç popüler hedef yazılımı bulduk:
- yıldırım kuşu[.]org – Vidar Stealer’ı bırakarak popüler Thunderbird açık kaynaklı e-posta paketini taklit eder
- kod görsel stüdyosu[.]org – Vidar’ı bırakmak için Microsoft’un Visual Studio Kodunu taklit eder
- cesur tarayıcılar[.]org – Vidar’ı bırakmak için Brave web tarayıcısını taklit eder
Mağdurlara gönderilen kötü amaçlı yazılım ailelerindeki çeşitlilik, kampanya operatörlerinin neyin en iyi sonucu verdiğini görmek için çeşitli türler denediğini gösterebilir.
Bu sitelerin bir başka kısmı, tehdit aktörleri için çok karlı bir faaliyet olan kripto para cüzdanlarını ve tohum ifadelerini hedef alıyor.
Örneğin, BleepingComputer “etersmine” buldu[.]com”, ziyaretçinin Ethereum cüzdan tohum ifadesini çalmaya çalışır.
Kampanyadaki diğer siteler, popüler kripto cüzdanlarını, ticaret uygulamalarını ve NFT sitelerini taklit eden kripto para sahiplerini ve dijital varlık yatırımcılarını hedefliyor.
Elbette, tehdit aktörleri, mümkün olduğu kadar çok yanlış türü kapsamak için her alanın birden fazla varyantını kullanır, bu nedenle bu alanlar, kampanyada kullanılan tüm alan ağının yalnızca küçük bir örneğidir.
Google Chrome ve Microsoft Edge gibi bazı tarayıcılar yazım hatası koruması içerir. Ancak, testlerimizde tarayıcılar, test ettiğimiz alanların hiçbirini engellemedi.
Kendinizi tiposquating alan adlarından korumak için meşru bir site bulmanın en iyi yöntemi, bir arama motorunda belirli bir markayı aramaktır.
Ancak, arama sonuçlarında gösterilen reklamlara tıklamaktan kaçınmalısınız. birçok vaka nerede kötü amaçlı reklamlar oluşturulur gerçek bir siteyi taklit etmek için.