Независимый ИБ-специалист Иван Квятковский (Ivan Kwiatkowski) обнаружил сеть поддельных сайтов, имитирующих легитимные сайты различных известных приложений: 7Zip, Paint.net, Inkscape, Scribus, GParted, Celestia, Audacity, Filezilla, Truecrypt, Blender, AdBlock и так далее. Все они распространяли рекламное ПО (adware).
На прошлой неделе исследователь случайно обнаружил подозрительный ресурс keepass[.]fr, имитирующий официальный сайт популярного менеджера паролей — keepass.info. Квятковский проверил, что распространяется с этого сайта под видом Keepass и обнаружил, что злоумышленники предлагают пользователям полноценную, работающую версию программы, однако она содержит адварь InstallCore.
Подобное рекламное ПО часто встраивают в различный бесплатный софт, и оно предлагает пользователям различные сторонние решения (как безобидные, так и вредоносные) во время установки приложения. За каждую успешную установку такого рекламируемого продукта операторы адвари получают небольшую комиссию. Проблема заключается в том, что таким способом часто распространяются криптовалютные майнеры, ПО, подменяющее основной поисковик в браузере и другие неприятные вещи.
Но Квятковский обнаружил, что keepass[.]fr — это вовсе не единственный ресурс в обойме неизвестных злоумышленников. На один и тот же почтовый адрес оказалось зарегистрировано множество доменов, так же имитирующих официальные сайты 7Zip, Paint.net, Inkscape, Scribus, GParted, Celestia, Audacity, Filezilla, Truecrypt, Blender, AdBlock и так далее.
Большинство этих доменов располагается в зонах .fr и .es, а их контент доступен на французском и испанском языках, соответственно. Отсюда исследователь делает вывод, что основной целью преступников являются именно пользователи, говорящие на французском и испанском языках, хотя несколько сайтов все же используют английский язык и другие доменные зоны.
Список фальшивых сайтов выглядит следующим образом:
- keepass[.]fr
- 7zip[.]fr
- inkscape[.]fr
- gparted[.]fr
- clonezilla[.]fr
- paintnet[.]fr
- greenshot[.]fr
- scribus[.]fr
- audacity[.]es
- stellarium[.]fr
- celestia[.]fr
- celestia[.]es
- azureus[.]es
- clonezilla[.]es
- inkscape[.]es
- paintnet[.]es
- handbrake[.]es
- gimp[.]es
- thunderbird[.]es
- unetbootin[.]org
- unetbootin[.]net
- notepad2[.]com
- keepass[.]com
Также Квятковский обнаружил, что некоторые принадлежащие злоумышленникам сайты сейчас не распространяют адварь, однако это не означает, что они не делали этого в прошлом:
- audacity[.]fr
- filezilla[.]fr
- truecrypt[.]fr
- blender3d[.]fr
- grooveshark[.]fr
- adblock[.]fr
- qbittorrent[.]com
По данным специалиста, все поддельные ресурсы, похоже, размещаются на одном сервере, что должно значительно облегчить операцию по их закрытию.
You can also add https://t.co/KP9klhoiR3 to the list. All seem to point to a single machine: 185.46.231.54.
— Ivan Kwiatkowski (@JusticeRage) July 27, 2018
