Eine enorme Malware (öffnet in neuem Tab) Verbreitungskampagne wurde entdeckt, die mehr als 200 bösartige Domains nutzt und sich als mehr als zwei Dutzend globale Marken ausgibt, um alle Arten von Malware für Android zu verbreiten (öffnet in neuem Tab) und Windows-Betriebssysteme.
Cybersicherheitsforscher von Cyble entdeckten zuerst die Kampagne, die darauf abzielte, verschiedene Malware unter Android-Benutzern zu verbreiten.
In der Kampagne richteten die unbekannten Bedrohungsakteure unzählige Domains ein, die fast identisch mit echten Domains großer Marken wie PayPal, SnapChat, TikTok und anderen zu sein scheinen. Die Domains haben nur ein einziges Zeichen, das anders ist, fehlt oder extra ist.
Android- und Windows-Benutzer angegriffen
Diese Art von Betrug wird normalerweise als „Typosquatting“ bezeichnet und wird bei allen Arten von Angriffen verwendet, beispielsweise auf GitHub, wo Angreifer Repositories mit Namen erstellen, die fast identisch mit legitimen Repositories sind, um zu versuchen, Malware zu verbreiten.
Piepender Computer erweiterte diese Recherche dann, um auch zahlreiche andere Domains zu finden, die Malware unter Windows-Benutzern verbreiten. Die genaue Werbemethode für diese Domains ist unbekannt, aber die Veröffentlichung legt nahe, dass es entweder die Opfer selbst sind, die die Domains auf ihren Geräten falsch eingeben, oder Bedrohungsakteure, die sich an Phishing und anderen Formen des Social Engineering beteiligen. Wir sollten jedoch die SEO-Vergiftung nicht vergessen.
Es wurde auch festgestellt, dass die Bedrohungsakteure diese große Typosquatting-Kampagne nutzten, um alle Arten von Malware zu verbreiten. In einigen Fällen verteilten sie den Vidar Stealer und in anderen – Agent Tesla. Vidar ist in der Lage, Bankinformationen, gespeicherte Passwörter, Browserverlauf, IP-Adressen, Details zu Kryptowährungs-Wallets und in einigen Fällen auch MFA-Informationen zu stehlen. Agent Tesla, der erstmals vor etwa acht Jahren entdeckt wurde, ist in der Lage, Anmeldeinformationen von vielen beliebten Apps zu stehlen, darunter Webbrowser, VPN-Software und FTP- und E-Mail-Clients.
Die Forscher glauben, dass die Bedrohungsakteure derzeit mit verschiedenen Malware-Varianten experimentieren, bis sie sehen, was am besten funktioniert. Neben Malware fanden die Forscher auch die Ethermine[.]com-Website, die versucht, Startphrasen für die Ethereum-Geldbörsen der Leute zu stehlen.
Über: Piepender Computer (öffnet in neuem Tab)