Поддельные сайты Keepass, 7Zip, Audacity и других приложений распространяли рекламное ПО

Независимый ИБ-специалист Иван Квятковский (Ivan Kwiatkowski) обнаружил сеть поддельных сайтов, имитирующих легитимные сайты различных известных приложений: 7Zip, Paint.net, Inkscape, Scribus, GParted, Celestia, Audacity, Filezilla, Truecrypt, Blender, AdBlock и так далее. Все они распространяли рекламное ПО (adware).

На прошлой неделе исследователь случайно обнаружил подозрительный ресурс keepass[.]fr, имитирующий официальный сайт популярного менеджера паролей — keepass.info. Квятковский проверил, что распространяется с этого сайта под видом Keepass и обнаружил, что злоумышленники предлагают пользователям полноценную, работающую версию программы, однако она содержит адварь InstallCore.

Подобное рекламное ПО часто встраивают в различный бесплатный софт, и оно предлагает пользователям различные сторонние решения (как безобидные, так и вредоносные) во время установки приложения. За каждую успешную установку такого рекламируемого продукта операторы адвари получают небольшую комиссию. Проблема заключается в том, что таким способом часто распространяются криптовалютные майнеры, ПО, подменяющее основной поисковик в браузере и другие неприятные вещи.

Но Квятковский обнаружил, что keepass[.]fr — это вовсе не единственный ресурс в обойме неизвестных злоумышленников. На один и тот же почтовый адрес оказалось зарегистрировано множество доменов, так же имитирующих официальные сайты 7Zip, Paint.net, Inkscape, Scribus, GParted, Celestia, Audacity, Filezilla, Truecrypt, Blender, AdBlock и так далее.

Большинство этих доменов располагается в зонах  .fr и .es, а их контент доступен на французском и испанском языках, соответственно. Отсюда исследователь делает вывод, что основной целью преступников являются именно пользователи, говорящие на французском и испанском языках, хотя несколько сайтов все же используют английский язык и другие доменные зоны.

Список фальшивых сайтов выглядит следующим образом:

• keepass[.]fr
• 7zip[.]fr
• inkscape[.]fr
• gparted[.]fr
• clonezilla[.]fr
• paintnet[.]fr
• greenshot[.]fr
• scribus[.]fr
• audacity[.]es
• stellarium[.]fr
• celestia[.]fr
• celestia[.]es
• azureus[.]es
• clonezilla[.]es
• inkscape[.]es
• paintnet[.]es
• handbrake[.]es
• gimp[.]es
• thunderbird[.]es
• unetbootin[.]org
• unetbootin[.]net
• notepad2[.]com
• keepass[.]com

Также Квятковский обнаружил, что некоторые принадлежащие злоумышленникам сайты сейчас не распространяют адварь, однако это не означает, что они не делали этого в прошлом:

• audacity[.]fr
• filezilla[.]fr
• truecrypt[.]fr
• blender3d[.]fr
• grooveshark[.]fr
• adblock[.]fr
• qbittorrent[.]com

По данным специалиста, все поддельные ресурсы, похоже, размещаются на одном сервере, что должно значительно облегчить операцию по их закрытию.

You can also add https://t.co/KP9klhoiR3 to the list. All seem to point to a single machine: 185.46.231.54.

— Ivan Kwiatkowski (@JusticeRage) July 27, 2018

Подписывайтесь на наш канал в: Telegram, Vk, Twitter.

Источник: xakep.