Сайты-клоны ExpressVPN заражают посетителей вредоносным ПО Redline

сайт клон expressvpn

Мошенники используют бренд ExpressVPN, чтобы обманом заставить людей загрузить поддельные инсталляторы, содержащие в своем содержимом вирусное ПО Redline – широко распространенную программу для кражи информации.

Пользователи заражают свои устройства вредоносным ПО, запуская его, думая, что собираются установить ExpressVPN, и в итоге теряют личные данные в результате действий киберпреступников.

Кампания была обнаружена исследователями Cyble Research & Intelligence Labs.

Typosquatting – это метод регистрации доменных имен, похожих на имена выдаваемых за свои брендов, обычно с использованием дополнительных символов или заменой букв.

Шесть примеров, обнаруженных Cyble в ходе расследования этого случая, следующие:

  • express-vpns[.]cloud
  • express-vpns[.]fun
  • express-vpns[.]biz
  • express-vpns[.]online
  • express-vpns[.]pro
  • express-vpns[.]xyz

Пользователи попадают на эти сайты через фишинговые письма, вредоносную рекламу или сообщения в социальных сетях и на форумах.

Внешний вид сайтов очень близок к настоящему сайту ExpressVPN, и на вредоносных сайтах даже предлагается трехмесячный бесплатный период на “ExpressVPN”, который реальный разработчик рекламировал в рамках акции “Черная пятница”. Субъекты угроз позаботились об использовании действующих SSL-сертификатов, чтобы их мошеннические сайты казались надежными для людей.

фейковый сайт expressvpn
Поддельный сайт ExpressVPN

Нажатие на кнопку для получения эксклюзивного предложения инициирует загрузку ZIP-файла. Файл “Setup.zip” содержит искусственно увеличенный исполняемый файл (setup.exe), чтобы избежать сканирования антивирусными средствами.

Запуск исполняемого файла инжектирует Redline в программу компилятора с цифровой подписью, так что она запускается прямо из памяти как доверенный процесс, не позволяя средствам безопасности поднимать тревогу.

Redline может похищать учетные данные, данные автозаполнения, файлы cookie и данные кредитных карт, хранящиеся в браузерах Google Chrome и Mozilla Firefox. Он также может атаковать расширения криптовалютных бирж и кошельков, учетные записи “холодных” кошельков, Discord, Steam и другие.

Redline – это MaaS (вредоносное ПО по подписке) для кражи информации, которое продается киберпреступникам в даркнете за ежемесячную абонентскую плату и в настоящее время является одним из наиболее широко распространенных вредоносных программ такого рода.

Чтобы свести к минимуму вероятность столкнуться с инфицированием Redline, убедитесь, что вы всегда загружаете программное обеспечение с официальных сайтов производителей, и избегайте перехода по ссылкам, отправленным по электронной почте, SMS и т.д. Кроме того, проверяйте загруженные программы установки на своем антивирусном ПО, прежде чем запускать их, и убедитесь, что формат файла соответствует типу приложения.

Предыдущая статья

лучшие vpn для криптобирж binance bybit coinbase ftx

Лучшие VPN для криптобирж и трейдинга

Следующая статья

бесплатный VPN заражает вирусом

Хакеры заражают пользователей Android вредоносным ПО с помощью бесплатных VPN

Мы используем файлы cookie для анализа событий на нашем веб-сайте, что позволяет нам улучшать взаимодействие с пользователями и предлагать наиболее релевантную информацию.