Des cybercriminels ont été surpris en train de se faire passer pour le site de navigation Brave, axé sur la confidentialité, pour infecter des utilisateurs peu méfiants avec des logiciels malveillants. Comme le rapporte Ars Technica, les cybercriminels après l'attaque ont enregistré pour la première fois le domaine xn - brav-yvacom qui utilise du punycode pour représenter bravėcom. Mis à part l'accent mis sur le « e », ce site possède un domaine qui ressemble beaucoup au site Brave (bravecom). Les utilisateurs qui visitaient le faux site auraient du mal à faire la différence entre les deux sites, car les cybercriminels imitaient à la fois l'apparence et la convivialité du site légitime de Brave. La seule vraie différence est que dès qu'un utilisateur clique sur le bouton « Télécharger Brave », un malware appelé ArechClient et SectopRat est téléchargé à la place du navigateur. Pour aider à générer du trafic vers leur faux site, les cybercriminels ont acheté des publicités sur Google qui s'affichaient lorsque les utilisateurs recherchaient des navigateurs. Même si les publicités elles-mêmes ne semblaient pas dangereuses, elles provenaient du domaine mckelveyteescom plutôt que de bravecom. En cliquant sur l'une de ces publicités, les utilisateurs seraient redirigés vers plusieurs domaines différents avant d'atteindre enfin bravėcom.
Domaines Punycode
Selon Jonathan Sampson, qui travaille comme développeur Web chez Brave, les faux sites ont incité les utilisateurs à télécharger une image ISO de XNUMX Mo contenant un seul exécutable. Alors que le malware diffusé par bravėcom est connu sous les noms d'ArechClient et SectopRat, une analyse réalisée par la société de cybersécurité G Data en XNUMX a révélé qu'il s'agissait d'un cheval de Troie d'accès à distance (RAT) capable de propager le bureau actuel d'un utilisateur et de créer un deuxième bureau invisible que les attaquants pourraient utiliser. utiliser. Cependant, depuis sa sortie, les cybercriminels à l'origine du malware ont ajouté de nouvelles fonctionnalités, notamment les communications cryptées avec les serveurs C&C, comme la possibilité de voler l'historique du navigateur d'un utilisateur de Google Chrome et de Mozilla Firefox. Martijin Gooten, responsable de la recherche sur les menaces au sein de la société de cybersécurité Silent Push, a mené ses recherches pour voir si les cybercriminels à l'origine de cette campagne avaient enregistré d'autres sites similaires pour lancer de nouvelles attaques. Il a ensuite recherché d'autres domaines punycode enregistrés via le registraire de domaine NameCheap pour découvrir que de faux sites avaient été enregistrés pour le navigateur Tor, Telegram et d'autres services populaires. Pour éviter d'être victime de cette campagne et d'autres attaques similaires, les utilisateurs doivent inspecter soigneusement les adresses Web de chaque site qu'ils visitent dans la barre d'adresse de leur navigateur. Bien que cela puisse paraître ennuyeux, c'est aujourd'hui le seul moyen d'avertir simplement les sites associés qui peuvent être utilisés pour propager des logiciels malveillants et d'autres virus. Via Ars Technica