Сеть из более 80 поддельных доменов — трояны Android и Windows

Сеть из более 80 поддельных доменов — трояны Android и Windows

В сентябре 2024 года финансово мотивированная группа киберпреступников запустила масштабную операцию, в ходе которой была развернута сеть из более чем 80 поддельных доменов и веб‑сайтов‑приманок. Мошенники имитировали законные налоговые порталы, сервисы потребительского банкинга, приложения для аудитории 18+ и программное обеспечение, связанное с установкой Windows, чтобы вынудить пользователей скачать вредоносное ПО и передать свои учетные данные.

Как работала кампания

Атакующие использовали многоплановую социально‑инженерную тактику:

  • Развертывание поддельных страниц входа, имитирующих реальные сервисы, с целью кражи логинов и паролей.
  • Распространение троянских программ для Android и Windows, маскируемых под полезные приложения и установщики.
  • Создание тематических сайтов‑приманок, в том числе под видом помощника по установке Windows и VPN‑сервисов, чтобы убедить жертву загрузить вредоносный файл.
  • Использование контента взрослой тематики и макетов популярных платформ (TikTok, YouTube) для повышения кликабельности и снижения бдительности пользователей.

«Основной целью этой операции является распространение троянских программ для Android и Windows, способствующих краже учетных данных пользователей путем развертывания поддельных страниц входа в систему.»

Какие бренды и типы сервисов имитировали злоумышленники

Сеть фишинговых ресурсов целенаправленно использовала доверие к известным брендам и сервисам. Среди имитаций и тем, использованных в кампании:

  • Помощник по установке Windows (включая вымышленные версии для Windows 11);
  • VPN‑приложения, в том числе под видом TrustCon VPN;
  • Платформы для взрослых и макеты популярных приложений — TikTok, YouTube;
  • Потребительский банкинг и криптовалютные сервисы — в том числе подделки, выдающие себя за USAA, PMC, Bloomberg и Binance;
  • Налоговые порталы и другие государственные сервисы.

Почему это представляет серьёзную угрозу

Операция демонстрирует устойчивую и продуманную угрозу, сочетающую в себе:

  • технические приемы — вредоносные инсталляторы и трояны для разных платформ (Android и Windows);
  • социальную инженерию — использование доверия к брендам и привлекательного контента для обмана пользователей;
  • коммерческую мотивацию — кража учетных данных для последующего мошенничества и финансовой выгоды.

Собранные учетные данные могут быть использованы для прямого банковского мошенничества, доступа к криптовалютным активам, дальнейших фишинговых атак или продажи на криминальном рынке.

Рекомендации для пользователей и организаций

  • Проверяйте URL перед вводом логина и пароля: официальные сайты редко используют необычные домены или поддомены.
  • Загружайте установщики и приложения только с официальных сайтов и магазинов (официальный сайт производителя, Microsoft Store, Google Play и т.д.).
  • Включите многофакторную аутентификацию (MFA) там, где это возможно — это снижает риск компрометации аккаунта при утечке пароля.
  • Поддерживайте ОС и антивирусное ПО в актуальном состоянии; используйте антируткит‑ и антималварные решения с эвристикой.
  • Обучайте сотрудников и пользователей методам распознавания фишинга: подозрительные письма, неожиданные загрузки и сайты со странными доменами — повод для проверки.
  • Сообщайте о фишинговых ресурсах и поддельных приложениях в соответствующие службы поддержки и CERT/организации по кибербезопасности.

Вывод

Описанная кампания — типичный пример современной многоцелевой фишинговой операции: злоумышленники комбинируют технические инструменты и социальную инженерию, чтобы получить доступ к учетным данным и распространить троянские программы. Пользователям и организациям важно сохранять бдительность, проверять источники загрузок и внедрять многоуровневые меры защиты, чтобы снизить риски компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: