Cyber kriminalci koriste lažne web-siteove koji su predstavljeni kao sitove poznatih proizvođača antivirusnog softvera.
Ovde spadaju antivirusi Avast, Bitdefender i Malwarebytes, a hakeri se lažno predstavljaju kako bi širili malwere koji kradu osjetljive informacije sa Android i Windows uređaja.
Stručnjaci iz firme za cyber sigurnost Trellix primijetili su tri takva web-sitea:
- Site avast-securedownload[.]com se koristi za isporuku trojanca SpyNote u obliku "Avast.apk" fajla koji, kada se instalira, zahtjeva dozvole za čitanje SMS poruka i evidencija poziva, instaliranje i brisanje aplikacija, pravljenje skreenshotova, praćenje lokacije, pa čak i za rudarenje kriptovalute
- Site bitdefender-app[.]com se koristi za isporuku ZIP filea ("setup-win-k86-x64.exe.zip") koji instalira malware za krađu informacija Lumma
- Site malwarebytes[.]pro se koristi za isporuku RAR filea ("MBSetup.rar") koji instalira malware za krađu informacija StealC
Trellix je također otkrio file pod nazivom "AMCoreDat.exe" koji služi kao kanal za ubacivanje malwarea na uređaje koji može da prikupi informacije o žrtvama, uključujući podatke iz pretraživača, i da ih eksfiltrira na server napadača.
Kako žrtve dolaze do ovih lažnih web-siteova trenutno nije jasno, ali za slične ranije kampanje korištene su tehnike kao što su oglasi i SEO.
Ovo uključuje nove malware kao što su Acrid, SamsStealer, ScarletStealer i Waltuhium Grabber, kao i ažuriranja postojećih kao što je SYS01stealer (Album Stealer ili S1deload Stealer).
"Činjenica da se novi kradljivci informacija pojavljuju s vremena na vrijeme, u kombinaciji sa činjenicom da njihova funkcionalnost i sofisticiranost uveliko variraju, ukazuje da postoji potražnja na kriminalnom tržištu za njima", navodi se u nedavno objavljenom izvještaju kompanije Kaspersky.
