Новости Мошенники распространяли малварь под видом браузера Brave

  • Автор темы GLOV
  • Дата начала

GLOV

Опытный
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Регистрация
20/5/18
Сообщения
1.158
Репутация
536
Реакции
1.634
RUB
2.000
Депозит
56 072 рублей
Сделок через гаранта
29
Арбитражи
1
YVrihrH.png
Специалисты Google остановили вредоносную рекламную кампанию, в рамках которой мошенники заманивали пользователей на поддельный сайт браузера Brave. Под видом браузера на сайте скрывался троян ArechClient (SectopRAT). Чтобы привлечь трафик на поддельный сайт, мошенники покупали в Google рекламу, которая отображалась в том случае, если люди искали что-то, связанное с браузерами.
cI5s2Ct.png

Исследователи рассказывают, что выявили эту искусно замаскированную рекламу, которая перенаправляла посетителей на вредоносный сайт. Ресурс располагался по адресу bravė.com, где слово «Brave» было написано с литовской буквой «ė», вместо обычного латинского «e» .
Мошенники используют Punycode обхода защитных фильтров и усыпления бдительности пользователей, и это уже давно не секрет. Punycode — стандартизированный метод преобразования последовательностей Unicode-символов в ACE-последовательности, которые состоят только из алфавитно-цифровых символов, как это разрешено в доменных именах. Punycode был разработан для однозначного преобразования доменных имен в последовательность ASCII-символов.
В современном браузере вредоносный домен bravė.com превратится в xn--brav-epa.com, однако пользователи могут не обращать внимания на адресную строку, не заметив подмену.
Сайт полностью имитировал официальный сайт Brave, но там пользователям предлагали загрузить файл ISO на 303 Мб, якобы содержащий установщик Brave. Как ни странно, браузер в этом файле тоже присутствовал, но вместе с ним распространялась малварь ArechClient (SectopRAT), основная задача которой — кража данных из браузеров и криптовалютных кошельков.
Ky68fsE.png

Также стоит сказать, что после обнаружения и блокировки атаки регистратор Namecheap, которым пользовались злоумышленники, отключил все их домены, включая другие мошеннические сайты, которые, к примеру, маскировались под официальные ресурсы Tor, Signal и Telegram (lędgėr.com, sīgnal.com, teleģram.com).
517Qmpi.png

RYhv27a.png
 
Сверху Снизу