Специалисты по информационной безопасности предупредили об опасности тайпосквоттинг-атак, нацеленных на пользователей популярного инструмента оптимизации Windows под названием WinUtil. Злоумышленники зарегистрировали домены с намеренными опечатками в адресе официального сайта проекта, чтобы заражать компьютеры скрытыми майнерами и вредоносным программным обеспечением для кражи данных.
Инструмент WinUtil, созданный блогером и разработчиком Chris Titus Tech, широко используется для настройки операционной системы, отключения фонового сбора телеметрии и удаления неиспользуемых встроенных программ. Для быстрого запуска утилиты автор предлагает использовать короткую команду в консоли PowerShell, которая автоматически загружает и выполняет скрипт с официального сайта christitus.com. Именно этот метод дистрибуции привлек внимание киберпреступников, решивших использовать невнимательность пользователей при ручном вводе команд.
В своем отчете специалист в сфере кибербезопасности Эрик Паркер продемонстрировал, как работают поддельные домены, такие как christits.com и christitu.com. При обычном посещении этих адресов через браузер происходит незаметное перенаправление на настоящий сайт проекта, что усыпляет бдительность потенциальной жертвы. Если пользователь вручную вводит команду в консоли PowerShell и допускает опечатку в названии домена, на устройство загружается опасный скрипт.
После активации фальшивого скрипта в системе создается запланированная задача под именем SysCheck2, запускающая скрытый процесс SysMon.py, замаскированный под системный монитор. Этот файл защищен коммерческим обфускатором PyArmor, что мешает его обнаружению традиционными антивирусными решениями. Скрипт скачивает на компьютер жертвы 2 основных вредоносных компонента.
Первым компонентом является модифицированная версия популярного майнера криптовалюты XMRig. Особенность данной сборки заключается в умении скрывать свое присутствие в системе. Программа отслеживает активность пользователя и мгновенно прекращает работу или снижает нагрузку на центральный процессор, как только фиксирует открытие встроенного диспетчера задач Windows. После закрытия диспетчера майнинг возобновляется, из-за чего заметить повышенное потребление ресурсов компьютера становится крайне сложно.
Второй компонент представляет собой утилиту для кражи конфиденциальной информации. Данное вредоносное программное обеспечение нацелено на извлечение сохраненных паролей, личных данных и куки-файлов из браузера Google Chrome. Таким образом, злоумышленники получают полный доступ к учетным записям пользователей, допустивших простую ошибку в 1 букве при вводе адреса.
Подобный метод атак не является новым для сообщества. Ранее аналогичная схема использовалась против пользователей инструмента Microsoft Activation Scripts, когда преступники зарегистрировали похожий адрес get.activate.win вместо оригинального get.activated.win. Специалисты рекомендуют полностью отказаться от ручного ввода длинных команд, содержащих ссылки на внешние ресурсы, и использовать исключительно копирование текста из проверенных источников, чтобы минимизировать риск заражения.
Источник: www.playground.ru