Red Hot Cyber

Sicurezza informatica, cybercrime, hack
news, e altro ancora

Red Hot Cyber

Furbi criminali informatici contro utenti disattenti: chi otterrà il trojan?

Gli esperti di Cyble e BleepingComputer segnalano una campagna di malware in corso che utilizza una rete di oltre 200 domini che imitano 27 marchi che costringe gli utenti a scaricare malware per Windows e Android.

Secondo il rapporto Cyble, i domini in questa campagna vengono creati utilizzando la tecnica del “typosquatting” e impersonano i famosi app store Android – Google Play, APKCombo e APKPure, nonché i portali di download per PayPal, VidMate, Snapchat e TikTok.

Sito dannoso che impersona PayPal

Alcuni dei domini utilizzati a questo scopo sono:

  • payce-google[.]com – finge di essere Google Wallet;
  • snanpckat-apk[.]com impersona Snapchat
  • vidmates-app[.]com – finge di essere VidMate;
  • paltpal-apk[.]com – finge di essere PayPal;
  • m-apkpures[.]com – finge di essere APKPure;
  • tlktok-apk[.]link – Simula il portale di download per l’app TikTok.

Su tutti i domini, i file APK vengono forniti con il malware ERMAC, un Trojan bancario che prende di mira conti bancari e portafogli di criptovaluta da 467 app.

Inoltre, gli esperti di BleepingComputer hanno scoperto una campagna più ampia degli stessi operatori che distribuiscono malware per Windows. Questa campagna è composta da oltre 90 siti che impersonano oltre 27 aziende famose per distribuire malware, rubare chiavi di ripristino di criptovaluta e distribuire malware Android.

Iscriviti alla newsletter di RHC per rimanere sempre aggiornato
Siti simulati in diverse categorie

Uno dei siti dannosi offre il download del popolare editor di testo Notepad++. 

I file di questo sito installano l’infostealer Vidar Stealer, la cui dimensione è stata aumentata a 700 MB per evitare l’analisi. Un altro sito sta impersonando il progetto Tor utilizzando il dominio “tocproject.com”. In questo caso, il sito Web fornisce lo spyware Agent Tesla e il trojan RAT.

Molti siti prendono di mira portafogli di criptovaluta e frasi iniziali degli utenti, ad esempio, il sito “ethersmine[.]com” cerca di rubare il portafoglio seme di Ethereum del visitatore.

Sito web che finge di essere una piscina mineraria di Ethermine

Gli aggressori utilizzano più varianti di ciascun dominio per sfruttare il maggior numero possibile di errori di battitura, quindi questi domini sono solo una piccola parte dell’intera rete di domini utilizzati nella campagna.