Сайты-клоны ExpressVPN заражают посетителей вредоносным ПО Redline

Мошенники используют бренд ExpressVPN, чтобы обманом заставить людей загрузить поддельные инсталляторы, содержащие в своем содержимом вирусное ПО Redline – широко распространенную программу для кражи информации.

Пользователи заражают свои устройства вредоносным ПО, запуская его, думая, что собираются установить ExpressVPN, и в итоге теряют личные данные в результате действий киберпреступников.

сайт клон expressvpn

Кампания была обнаружена исследователями Cyble Research & Intelligence Labs.

Typosquatting – это метод регистрации доменных имен, похожих на имена выдаваемых за свои брендов, обычно с использованием дополнительных символов или заменой букв.

Шесть примеров, обнаруженных Cyble в ходе расследования этого случая, следующие:

  • express-vpns[.]cloud
  • express-vpns[.]fun
  • express-vpns[.]biz
  • express-vpns[.]online
  • express-vpns[.]pro
  • express-vpns[.]xyz

Пользователи попадают на эти сайты через фишинговые письма, вредоносную рекламу или сообщения в социальных сетях и на форумах.

Внешний вид сайтов очень близок к настоящему сайту ExpressVPN, и вредоносных сайтах даже предлагается трехмесячный бесплатный период на “ExpressVPN”, который реальный разработчик рекламировал в рамках акции “Черная пятница”. Субъекты угроз позаботились об использовании действующих SSL-сертификатов, чтобы их мошеннические сайты казались надежными для людей.

похожий URL на ExpressVPN

Нажатие на кнопку для получения эксклюзивного предложения инициирует загрузку ZIP-файла с URL-адреса приложения Discord. Файл “Setup.zip” содержит искусственно увеличенный исполняемый файл (setup.exe), чтобы избежать сканирования антивирусными средствами.

Запуск исполняемого файла инжектирует Redline в программу компилятора с цифровой подписью, так что она запускается прямо из памяти как доверенный процесс, не позволяя средствам безопасности поднимать тревогу.

Далее крадущая программа получает свою конфигурацию с командно-контрольного сервера, который содержит указания о том, какие данные должны быть доступны на зараженном компьютере.

Redline может похищать учетные данные, данные автозаполнения, файлы cookie и кредитные карты, хранящиеся в браузерах Chrome и Firefox. Он также может атаковать плагины для криптовалютных кошельков, учетные записи “холодных” кошельков, VPN, Discord, Steam и другие.

Redline – это MaaS (вредоносное ПО по подписке) для кражи информации, которое продается киберпреступникам в даркнете за ежемесячную абонентскую плату и в настоящее время является одним из наиболее широко распространенных вредоносных программ такого рода.

Чтобы свести к минимуму вероятность столкнуться с инфицированием Redline, убедитесь, что вы всегда загружаете программное обеспечение с официальных сайтов производителей, и избегайте перехода по ссылкам, отправленным по электронной почте, SMS и т.д. Кроме того, проверяйте загруженные программы установки на своем антивирусном ПО, прежде чем запускать их, и убедитесь, что формат файла соответствует типу приложения.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Читайте также