Независимый ИБ-специалист Иван Квятковский (Ivan Kwiatkowski) обнаружил сеть поддельных сайтов, имитирующих легитимные сайты различных известных приложений: 7Zip, Paint.net, Inkscape, Scribus, GParted, Celestia, Audacity, Filezilla, Truecrypt, Blender, AdBlock и так далее. Все они распространяли рекламное ПО (adware).

На прошлой неделе исследователь случайно обнаружил подозрительный ресурс keepass[.]fr, имитирующий официальный сайт популярного менеджера паролей — keepass.info. Квятковский проверил, что распространяется с этого сайта под видом Keepass и обнаружил, что злоумышленники предлагают пользователям полноценную, работающую версию программы, однако она содержит адварь InstallCore.

Подобное рекламное ПО часто встраивают в различный бесплатный софт, и оно предлагает пользователям различные сторонние решения (как безобидные, так и вредоносные) во время установки приложения. За каждую успешную установку такого рекламируемого продукта операторы адвари получают небольшую комиссию. Проблема заключается в том, что таким способом часто распространяются криптовалютные майнеры, ПО, подменяющее основной поисковик в браузере и другие неприятные вещи.

Но Квятковский обнаружил, что keepass[.]fr — это вовсе не единственный ресурс в обойме неизвестных злоумышленников. На один и тот же почтовый адрес оказалось зарегистрировано множество доменов, так же имитирующих официальные сайты 7Zip, Paint.net, Inkscape, Scribus, GParted, Celestia, Audacity, Filezilla, Truecrypt, Blender, AdBlock и так далее.

Большинство этих доменов располагается в зонах  .fr и .es, а их контент доступен на французском и испанском языках, соответственно. Отсюда исследователь делает вывод, что основной целью преступников являются именно пользователи, говорящие на французском и испанском языках, хотя несколько сайтов все же используют английский язык и другие доменные зоны.

Список фальшивых сайтов выглядит следующим образом:

  • keepass[.]fr
  • 7zip[.]fr
  • inkscape[.]fr
  • gparted[.]fr
  • clonezilla[.]fr
  • paintnet[.]fr
  • greenshot[.]fr
  • scribus[.]fr
  • audacity[.]es
  • stellarium[.]fr
  • celestia[.]fr
  • celestia[.]es
  • azureus[.]es
  • clonezilla[.]es
  • inkscape[.]es
  • paintnet[.]es
  • handbrake[.]es
  • gimp[.]es
  • thunderbird[.]es
  • unetbootin[.]org
  • unetbootin[.]net
  • notepad2[.]com
  • keepass[.]com

Также Квятковский обнаружил, что некоторые принадлежащие злоумышленникам сайты сейчас не распространяют адварь, однако это не означает, что они не делали этого в прошлом:

  • audacity[.]fr
  • filezilla[.]fr
  • truecrypt[.]fr
  • blender3d[.]fr
  • grooveshark[.]fr
  • adblock[.]fr
  • qbittorrent[.]com

По данным специалиста, все поддельные ресурсы, похоже, размещаются на одном сервере, что должно значительно облегчить операцию по их закрытию.

Оставить мнение