Furbi criminali informatici contro utenti disattenti: chi otterrà il trojan?

Gli esperti di Cyble e BleepingComputer segnalano una campagna di malware in corso che utilizza una rete di oltre 200 domini che imitano 27 marchi che costringe gli utenti a scaricare malware per Windows e Android.

Secondo il rapporto Cyble, i domini in questa campagna vengono creati utilizzando la tecnica del “typosquatting” e impersonano i famosi app store Android – Google Play, APKCombo e APKPure, nonché i portali di download per PayPal, VidMate, Snapchat e TikTok.

Alcuni dei domini utilizzati a questo scopo sono:

• payce-google[.]com – finge di essere Google Wallet;
• snanpckat-apk[.]com impersona Snapchat
• vidmates-app[.]com – finge di essere VidMate;
• paltpal-apk[.]com – finge di essere PayPal;
• m-apkpures[.]com – finge di essere APKPure;
• tlktok-apk[.]link – Simula il portale di download per l’app TikTok.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Su tutti i domini, i file APK vengono forniti con il malware ERMAC, un Trojan bancario che prende di mira conti bancari e portafogli di criptovaluta da 467 app.

Inoltre, gli esperti di BleepingComputer hanno scoperto una campagna più ampia degli stessi operatori che distribuiscono malware per Windows. Questa campagna è composta da oltre 90 siti che impersonano oltre 27 aziende famose per distribuire malware, rubare chiavi di ripristino di criptovaluta e distribuire malware Android.

Uno dei siti dannosi offre il download del popolare editor di testo Notepad++. 

I file di questo sito installano l’infostealer Vidar Stealer, la cui dimensione è stata aumentata a 700 MB per evitare l’analisi. Un altro sito sta impersonando il progetto Tor utilizzando il dominio “tocproject.com”. In questo caso, il sito Web fornisce lo spyware Agent Tesla e il trojan RAT.

Molti siti prendono di mira portafogli di criptovaluta e frasi iniziali degli utenti, ad esempio, il sito “ethersmine[.]com” cerca di rubare il portafoglio seme di Ethereum del visitatore.

Gli aggressori utilizzano più varianti di ciascun dominio per sfruttare il maggior numero possibile di errori di battitura, quindi questi domini sono solo una piccola parte dell’intera rete di domini utilizzati nella campagna.

Ti è piaciutno questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.