อาชญากรไซเบอร์ถูกจับได้ว่าปลอมตัวเป็นไซต์เบราว์เซอร์ Brave ที่เน้นความเป็นส่วนตัวเพื่อแพร่เชื้อมัลแวร์ให้กับผู้ใช้ที่ไม่สงสัย
ตามที่รายงานโดย Ars Technica อาชญากรไซเบอร์หลังการโจมตีได้ลงทะเบียนโดเมน xn - brav-yvacom เป็นครั้งแรก ซึ่งใช้ punycode เพื่อเป็นตัวแทนของ bravėcom นอกเหนือจากการเน้นที่ 'e' แล้ว ไซต์นี้ยังมีโดเมนที่คล้ายกับไซต์ Brave (bravecom) อย่างใกล้ชิด
ผู้ใช้ที่เยี่ยมชมไซต์ปลอมจะพบว่าค่อนข้างยากที่จะบอกความแตกต่างระหว่างไซต์ทั้งสอง เนื่องจากอาชญากรไซเบอร์เลียนแบบทั้งรูปลักษณ์และความรู้สึกของไซต์ Brave ที่ถูกกฎหมาย ข้อแตกต่างที่แท้จริงเพียงอย่างเดียวคือทันทีที่ผู้ใช้คลิกปุ่ม "ดาวน์โหลด Brave" มัลแวร์ที่เรียกว่า ArechClient และ SectopRat จะถูกดาวน์โหลดแทนเบราว์เซอร์
เพื่อช่วยเพิ่มปริมาณการเข้าชมไซต์ปลอม อาชญากรไซเบอร์ซื้อโฆษณาบน Google ที่แสดงเมื่อผู้ใช้ค้นหาเบราว์เซอร์ แม้ว่าตัวโฆษณาจะไม่ดูเป็นอันตราย แต่ก็มาจากโดเมน mckelveyteescom มากกว่า Bravecom การคลิกที่โฆษณาเหล่านี้จะส่งผู้ใช้ไปยังโดเมนต่างๆ ก่อนที่จะเข้าถึงbravėcomในที่สุด
โดเมน Punycode
ตามที่ Jonathan Sampson ซึ่งทำงานเป็นนักพัฒนาเว็บที่ Brave ระบุว่าไซต์ปลอมหลอกให้ผู้ใช้ดาวน์โหลดอิมเมจ ISO ขนาด XNUMXMB ที่มีไฟล์ปฏิบัติการเพียงไฟล์เดียว
แม้ว่ามัลแวร์ที่ถูกผลักดันโดยbravėcomนั้นรู้จักกันในชื่อ ArechClient และ SectopRat การวิเคราะห์โดยบริษัทรักษาความปลอดภัยทางไซเบอร์ G Data ในปี XNUMX พบว่ามันเป็นโทรจันการเข้าถึงระยะไกล (RAT) ที่สามารถแพร่กระจายเดสก์ท็อปปัจจุบันของผู้ใช้และสร้างเดสก์ท็อปตัวที่สองที่มองไม่เห็นที่ผู้โจมตีสามารถทำได้ ใช้. อย่างไรก็ตาม นับตั้งแต่เปิดตัว อาชญากรไซเบอร์ที่อยู่เบื้องหลังมัลแวร์ได้เพิ่มคุณสมบัติใหม่ รวมถึงการสื่อสารที่เข้ารหัสกับเซิร์ฟเวอร์ C&C เช่น ความสามารถในการขโมยประวัติเบราว์เซอร์ของผู้ใช้ Google Chrome และ Mozilla Firefox
Martijin Gooten หัวหน้าฝ่ายวิจัยข่าวกรองภัยคุกคามของบริษัทรักษาความปลอดภัยทางไซเบอร์ Silent Push ได้ทำการวิจัยเพื่อดูว่าอาชญากรไซเบอร์ที่อยู่เบื้องหลังแคมเปญนี้ได้ลงทะเบียนไซต์อื่นที่คล้ายคลึงกันเพื่อเริ่มการโจมตีครั้งใหม่หรือไม่ จากนั้นเขาค้นหาโดเมน punycode อื่นๆ ที่ลงทะเบียนผ่านผู้รับจดทะเบียนโดเมน NameCheap เพื่อค้นหาว่ามีการลงทะเบียนเว็บไซต์ปลอมสำหรับเบราว์เซอร์ Tor, Telegram และบริการยอดนิยมอื่นๆ
เพื่อหลีกเลี่ยงการตกเป็นเหยื่อของแคมเปญนี้และการโจมตีอื่นที่คล้ายคลึงกัน ผู้ใช้ควรตรวจสอบที่อยู่เว็บของแต่ละไซต์ที่พวกเขาเยี่ยมชมอย่างระมัดระวังในแถบที่อยู่ของเบราว์เซอร์ แม้ว่าสิ่งนี้อาจจะน่าเบื่อ แต่ในปัจจุบัน มันเป็นวิธีเดียวที่จะเตือนไซต์ที่เกี่ยวข้องซึ่งสามารถใช้เพื่อแพร่กระจายมัลแวร์และไวรัสอื่น ๆ
ผ่านทาง Ars Technica