Независимый ИБ-специалист Иван Квятковский (Ivan Kwiatkowski) обнаружил сеть поддельных сайтов, имитирующих легитимные сайты различных известных приложений: 7Zip, Paint.net, Inkscape, Scribus, GParted, Celestia, Audacity, Filezilla, Truecrypt, Blender, AdBlock и так далее. Все они распространяли рекламное ПО (adware).

На прошлой неделе исследователь случайно обнаружил подозрительный ресурс keepass[.]fr, имитирующий официальный сайт популярного менеджера паролей — keepass.info. Квятковский проверил, что распространяется с этого сайта под видом Keepass и обнаружил, что злоумышленники предлагают пользователям полноценную, работающую версию программы, однако она содержит адварь InstallCore.

Подобное рекламное ПО часто встраивают в различный бесплатный софт, и оно предлагает пользователям различные сторонние решения (как безобидные, так и вредоносные) во время установки приложения. За каждую успешную установку такого рекламируемого продукта операторы адвари получают небольшую комиссию. Проблема заключается в том, что таким способом часто распространяются криптовалютные майнеры, ПО, подменяющее основной поисковик в браузере и другие неприятные вещи.

Но Квятковский обнаружил, что keepass[.]fr — это вовсе не единственный ресурс в обойме неизвестных злоумышленников. На один и тот же почтовый адрес оказалось зарегистрировано множество доменов, так же имитирующих официальные сайты 7Zip, Paint.net, Inkscape, Scribus, GParted, Celestia, Audacity, Filezilla, Truecrypt, Blender, AdBlock и так далее.

Большинство этих доменов располагается в зонах  .fr и .es, а их контент доступен на французском и испанском языках, соответственно. Отсюда исследователь делает вывод, что основной целью преступников являются именно пользователи, говорящие на французском и испанском языках, хотя несколько сайтов все же используют английский язык и другие доменные зоны.

Список фальшивых сайтов выглядит следующим образом:

• keepass[.]fr


• 7zip[.]fr


• inkscape[.]fr


• gparted[.]fr


• clonezilla[.]fr


• paintnet[.]fr


• greenshot[.]fr


• scribus[.]fr


• audacity[.]es


• stellarium[.]fr


• celestia[.]fr


• celestia[.]es


• azureus[.]es


• clonezilla[.]es


• inkscape[.]es


• paintnet[.]es


• handbrake[.]es


• gimp[.]es


• thunderbird[.]es


• unetbootin[.]org


• unetbootin[.]net


• notepad2[.]com


• keepass[.]com

Также Квятковский обнаружил, что некоторые принадлежащие злоумышленникам сайты сейчас не распространяют адварь, однако это не означает, что они не делали этого в прошлом:

• audacity[.]fr


• filezilla[.]fr


• truecrypt[.]fr


• blender3d[.]fr


• grooveshark[.]fr


• adblock[.]fr


• qbittorrent[.]com

По данным специалиста, все поддельные ресурсы, похоже, размещаются на одном сервере, что должно значительно облегчить операцию по их закрытию.

You can also add https://t.co/KP9klhoiR3 to the list. All seem to point to a single machine: 185.46.231.54.

— Ivan Kwiatkowski (@JusticeRage) July 27, 2018