Furbi criminali informatici contro utenti disattenti: chi otterrà il trojan?

Redazione RHC : 25 Ottobre 2022 07:33

Gli esperti di Cyble e BleepingComputer segnalano una campagna di malware in corso che utilizza una rete di oltre 200 domini che imitano 27 marchi che costringe gli utenti a scaricare malware per Windows e Android.

Secondo il rapporto Cyble, i domini in questa campagna vengono creati utilizzando la tecnica del “typosquatting” e impersonano i famosi app store Android – Google Play, APKCombo e APKPure, nonché i portali di download per PayPal, VidMate, Snapchat e TikTok.

Alcuni dei domini utilizzati a questo scopo sono:

• payce-google[.]com – finge di essere Google Wallet;
• snanpckat-apk[.]com impersona Snapchat
• vidmates-app[.]com – finge di essere VidMate;
• paltpal-apk[.]com – finge di essere PayPal;
• m-apkpures[.]com – finge di essere APKPure;
• tlktok-apk[.]link – Simula il portale di download per l’app TikTok.

Prova la Demo di Business Log! Adaptive SOC italiano Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro. Scarica ora la Demo di Business Log per 30gg Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Su tutti i domini, i file APK vengono forniti con il malware ERMAC, un Trojan bancario che prende di mira conti bancari e portafogli di criptovaluta da 467 app.

Inoltre, gli esperti di BleepingComputer hanno scoperto una campagna più ampia degli stessi operatori che distribuiscono malware per Windows. Questa campagna è composta da oltre 90 siti che impersonano oltre 27 aziende famose per distribuire malware, rubare chiavi di ripristino di criptovaluta e distribuire malware Android.

Uno dei siti dannosi offre il download del popolare editor di testo Notepad++. 

I file di questo sito installano l’infostealer Vidar Stealer, la cui dimensione è stata aumentata a 700 MB per evitare l’analisi. Un altro sito sta impersonando il progetto Tor utilizzando il dominio “tocproject.com”. In questo caso, il sito Web fornisce lo spyware Agent Tesla e il trojan RAT.

Molti siti prendono di mira portafogli di criptovaluta e frasi iniziali degli utenti, ad esempio, il sito “ethersmine[.]com” cerca di rubare il portafoglio seme di Ethereum del visitatore.

Gli aggressori utilizzano più varianti di ciascun dominio per sfruttare il maggior numero possibile di errori di battitura, quindi questi domini sono solo una piccola parte dell’intera rete di domini utilizzati nella campagna.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli