Пользователи в Китае, пытаясь скачать популярные браузеры и коммуникационные приложения, оказываются целью кибератак, основанных на поддельных страницах загрузки и доменах с ошибками в написании (typosquatting). Эти мошеннические сайты манипулируют поисковыми результатами, чтобы выдать себя за официальные ресурсы.
Механизм атак
Исследователи компаний Fortinet FortiGuard Labs и Zscaler ThreatLabz обнаружили фальшивые страницы загрузки для таких приложений, как DeepL Translate, Google Chrome, Signal, Telegram и WPS Office. Эти страницы не просто вводят в заблуждение пользователя, но и устанавливают зараженные троянские программы.
Распределяемые через такие кампании Remote Access Trojans (RAT) включают в себя HiddenGh0st, Winos, FatalRAT и недавно обнаруженный kkRAT. Вредоносное ПО kkRAT имеет код, сходный с Gh0st RAT и Big Bad Wolf: сжатием данных и добавлением уровня шифрования для сетевого трафика, а также заменой криптовалютных адресов в буфере обмена. Это ПО может внедрять удаленные средства мониторинга такие как Sunlogin и GotoHTTP, а также завершать процессы, в том числе уничтожая некоторые антивирусные компоненты, прежде чем начать выполнение.
Злоумышленники также использовали GitHub Pages для размещения фишинговых сайтов, полагаясь на доверие к данной платформе. Однако данный зловредный аккаунт на GitHub был заблокирован.
Происхождение кампании
Исследования указывают на то, что аспекты этой кампании начали активное развитие с мая текущего года. Угроза особенно актуальна для пользователей, не обладающих достаточными знаниями в области кибербезопасности и, следовательно, более подверженных нападению через вредоносное ПО.
