Мошенники используют бренд ExpressVPN, чтобы обманом заставить людей загрузить поддельные инсталляторы, содержащие в своем содержимом вирусное ПО Redline – широко распространенную программу для кражи информации.
Пользователи заражают свои устройства вредоносным ПО, запуская его, думая, что собираются установить ExpressVPN, и в итоге теряют личные данные в результате действий киберпреступников.
Кампания была обнаружена исследователями Cyble Research & Intelligence Labs.
Typosquatting – это метод регистрации доменных имен, похожих на имена выдаваемых за свои брендов, обычно с использованием дополнительных символов или заменой букв.
Шесть примеров, обнаруженных Cyble в ходе расследования этого случая, следующие:
- express-vpns[.]cloud
- express-vpns[.]fun
- express-vpns[.]biz
- express-vpns[.]online
- express-vpns[.]pro
- express-vpns[.]xyz
Пользователи попадают на эти сайты через фишинговые письма, вредоносную рекламу или сообщения в социальных сетях и на форумах.
Внешний вид сайтов очень близок к настоящему сайту ExpressVPN, и на вредоносных сайтах даже предлагается трехмесячный бесплатный период на “ExpressVPN”, который реальный разработчик рекламировал в рамках акции “Черная пятница”. Субъекты угроз позаботились об использовании действующих SSL-сертификатов, чтобы их мошеннические сайты казались надежными для людей.
Нажатие на кнопку для получения эксклюзивного предложения инициирует загрузку ZIP-файла. Файл “Setup.zip” содержит искусственно увеличенный исполняемый файл (setup.exe), чтобы избежать сканирования антивирусными средствами.
Запуск исполняемого файла инжектирует Redline в программу компилятора с цифровой подписью, так что она запускается прямо из памяти как доверенный процесс, не позволяя средствам безопасности поднимать тревогу.
Redline может похищать учетные данные, данные автозаполнения, файлы cookie и данные кредитных карт, хранящиеся в браузерах Google Chrome и Mozilla Firefox. Он также может атаковать расширения криптовалютных бирж и кошельков, учетные записи “холодных” кошельков, Discord, Steam и другие.
Redline – это MaaS (вредоносное ПО по подписке) для кражи информации, которое продается киберпреступникам в даркнете за ежемесячную абонентскую плату и в настоящее время является одним из наиболее широко распространенных вредоносных программ такого рода.
Чтобы свести к минимуму вероятность столкнуться с инфицированием Redline, убедитесь, что вы всегда загружаете программное обеспечение с официальных сайтов производителей, и избегайте перехода по ссылкам, отправленным по электронной почте, SMS и т.д. Кроме того, проверяйте загруженные программы установки на своем антивирусном ПО, прежде чем запускать их, и убедитесь, что формат файла соответствует типу приложения.
