Сеть из более 80 поддельных доменов — трояны Android и Windows

В сентябре 2024 года финансово мотивированная группа киберпреступников запустила масштабную операцию, в ходе которой была развернута сеть из более чем 80 поддельных доменов и веб‑сайтов‑приманок. Мошенники имитировали законные налоговые порталы, сервисы потребительского банкинга, приложения для аудитории 18+ и программное обеспечение, связанное с установкой Windows, чтобы вынудить пользователей скачать вредоносное ПО и передать свои учетные данные.
Как работала кампания
Атакующие использовали многоплановую социально‑инженерную тактику:
- Развертывание поддельных страниц входа, имитирующих реальные сервисы, с целью кражи логинов и паролей.
- Распространение троянских программ для Android и Windows, маскируемых под полезные приложения и установщики.
- Создание тематических сайтов‑приманок, в том числе под видом помощника по установке Windows и VPN‑сервисов, чтобы убедить жертву загрузить вредоносный файл.
- Использование контента взрослой тематики и макетов популярных платформ (TikTok, YouTube) для повышения кликабельности и снижения бдительности пользователей.
«Основной целью этой операции является распространение троянских программ для Android и Windows, способствующих краже учетных данных пользователей путем развертывания поддельных страниц входа в систему.»
Какие бренды и типы сервисов имитировали злоумышленники
Сеть фишинговых ресурсов целенаправленно использовала доверие к известным брендам и сервисам. Среди имитаций и тем, использованных в кампании:
- Помощник по установке Windows (включая вымышленные версии для Windows 11);
- VPN‑приложения, в том числе под видом TrustCon VPN;
- Платформы для взрослых и макеты популярных приложений — TikTok, YouTube;
- Потребительский банкинг и криптовалютные сервисы — в том числе подделки, выдающие себя за USAA, PMC, Bloomberg и Binance;
- Налоговые порталы и другие государственные сервисы.
Почему это представляет серьёзную угрозу
Операция демонстрирует устойчивую и продуманную угрозу, сочетающую в себе:
- технические приемы — вредоносные инсталляторы и трояны для разных платформ (Android и Windows);
- социальную инженерию — использование доверия к брендам и привлекательного контента для обмана пользователей;
- коммерческую мотивацию — кража учетных данных для последующего мошенничества и финансовой выгоды.
Собранные учетные данные могут быть использованы для прямого банковского мошенничества, доступа к криптовалютным активам, дальнейших фишинговых атак или продажи на криминальном рынке.
Рекомендации для пользователей и организаций
- Проверяйте URL перед вводом логина и пароля: официальные сайты редко используют необычные домены или поддомены.
- Загружайте установщики и приложения только с официальных сайтов и магазинов (официальный сайт производителя, Microsoft Store, Google Play и т.д.).
- Включите многофакторную аутентификацию (MFA) там, где это возможно — это снижает риск компрометации аккаунта при утечке пароля.
- Поддерживайте ОС и антивирусное ПО в актуальном состоянии; используйте антируткит‑ и антималварные решения с эвристикой.
- Обучайте сотрудников и пользователей методам распознавания фишинга: подозрительные письма, неожиданные загрузки и сайты со странными доменами — повод для проверки.
- Сообщайте о фишинговых ресурсах и поддельных приложениях в соответствующие службы поддержки и CERT/организации по кибербезопасности.
Вывод
Описанная кампания — типичный пример современной многоцелевой фишинговой операции: злоумышленники комбинируют технические инструменты и социальную инженерию, чтобы получить доступ к учетным данным и распространить троянские программы. Пользователям и организациям важно сохранять бдительность, проверять источники загрузок и внедрять многоуровневые меры защиты, чтобы снизить риски компрометации.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



