Шахраї використовують бренд ExpressVPN, щоб обманом змусити людей завантажити підроблені інсталятори, що містять у своєму вмісті вірусне програмне забезпечення Redline – широко поширену програму для крадіжки інформації.
Користувачі заражають свої пристрої шкідливим програмним забезпеченням, запускаючи його, думаючи, що збираються встановити ExpressVPN, і в результаті втрачають особисті дані в результаті дій кіберзлочинців.
Кампанія була виявлена дослідниками Cyble Research & Intelligence Labs.
Typosquatting – це метод реєстрації доменних імен, схожих на імена, що видаються за свої бренди, зазвичай з використанням додаткових символів або заміною букв.
Шість прикладів, виявлених Cyble в ході розслідування цієї нагоди, наступні:
- express-vpns[.]cloud
- express-vpns[.]fun
- express-vpns[.]biz
- express-vpns[.]online
- express-vpns[.]pro
- express-vpns[.]xyz
Користувачі потрапляють на ці сайти через фішингові листи, шкідливу рекламу або повідомлення у соціальних мережах та на форумах.
Зовнішній вигляд сайтів дуже близький до цього сайту ExpressVPN, і на шкідливих сайтах навіть пропонується тримісячний безкоштовний період на ExpressVPN, який реальний розробник рекламував в рамках акції Чорна п'ятниця. Суб'єкти загроз подбали про використання діючих SSL-сертифікатів, щоб їх шахрайські сайти здавалися надійними для людей.
Натискання кнопки для отримання ексклюзивної пропозиції ініціює завантаження ZIP-файлу. Файл “Setup.zip” містить штучно збільшений файл, що виконується (setup.exe), щоб уникнути сканування антивірусними засобами.
Запуск файлу інжектує Redline в програму компілятора з цифровим підписом, так що вона запускається прямо з пам'яті як довірений процес, не дозволяючи засобам безпеки піднімати тривогу.
Redline може викрадати облікові дані, дані автозаповнення, файли cookie та дані кредитних карток, що зберігаються у браузерах Google Chrome та Mozilla Firefox. Він також може атакувати розширення криптовалютних бірж та гаманців, облікові записи “холодних” гаманців, Discord, Steam та інші.
Redline – це MaaS (шкідливе ПЗ за підпискою) для крадіжки інформації, яке продається кіберзлочинцям у даркнеті за щомісячну абонентську плату і в даний час є одним з найпоширеніших шкідливих програм такого роду.
Щоб звести до мінімуму можливість зіткнутися з інфікуванням Redline, переконайтеся, що ви завжди завантажуєте програмне забезпечення з офіційних сайтів виробників, і уникайте переходу за посиланнями, надісланими електронною поштою, SMS тощо. Крім того, перш ніж запускати їх, перевіряйте завантажені програми установки на своєму антивірусному ПЗ, і переконайтеся, що формат файлу відповідає типу програми.