26/05/25
Поддельные сайты, имитирующие легитимные проекты с открытым исходным кодом продвигаются их через поисковую оптимизацию. Ранее на этой неделе специалисты обнаружили мошенническую кампанию, использующую бренд RVTools, однако расследование показало гораздо более широкую сеть фальшивых ресурсов.
Исследователи из BleepingComputer выявили новые домены, эксплуатирующие репутацию известных утилит сетевого администрирования, передаёт Securitylab. Преступники создали копии сайтов Zenmap — графической оболочки для сканера сети Nmap, а также программы трассировки маршрутов WinMTR. Подобная тактика позволяет злоумышленникам перехватывать трафик пользователей, ищущих необходимые инструменты через поисковые системы.
Вредоносный загрузчик Bumblebee распространяется минимум через два поддельных домена: zenmap[.]pro и winmtr[.]org. Второй ресурс в настоящее время недоступен, тогда как первый продолжает функционировать и демонстрирует различное содержимое в зависимости от способа доступа посетителей. При прямом обращении к сайту пользователи видят фальшивый блог с материалами о программе Zenmap.
Совершенно иная картина открывается перед теми, кто попадает на ресурс через результаты поисковых запросов. Система автоматически определяет источник трафика и подменяет содержимое страницы точной копией официального веб-сайта утилиты Network Mapper. Подобная технология позволяет мошенникам максимально точно имитировать легитимные ресурсы, вводя в заблуждение даже опытных админов.
Поддельные сайты занимают высокие позиции в результатах поиска Google и Bing благодаря применению техник SEO-отравления. По классиве преступники оптимизируют контент под ключевые запросы, связанные с целевым ПО, искусственно повышая рейтинг мошеннических ресурсов. Поисковые алгоритмы воспринимают подобные страницы как релевантные и авторитетные источники информации.
Прямое посещение фальшивой страницы Zenmap открывает перед потенциальной жертвой несколько статей, созданных при помощи искусственного интеллекта. Материалы выглядят профессионально написанными и содержат технические подробности о сетевом сканировании. Такой контент должен убедить посетителей в подлинности ресурса и усыпить их бдительность при скачивании программ.
Опасные файлы скрываются в разделе загрузок под именами zenmap-7.97.msi и WinMTR.msi, точно копирующими названия официальных дистрибутивов. Оба установщика успешно обходят большинство антивирусных движков на платформе VirusTotal, что серьёзно затрудняет их выявление как вредоносных. Высокий уровень маскировки достигается за счет внедрения опасного кода в легитимные исполняемые файлы.
Установочные пакеты действительно загружают заявленные приложения, сохраняя их полную функциональность. Однако параллельно с основной программой в систему проникает вредоносная динамическая библиотека, содержащая загрузчик Bumblebee. Такая схема позволяет преступникам долго оставаться незамеченными, поскольку целевое ПО работает без видимых нарушений.
Bumblebee функционирует как многофункциональный бэкдор, способный изучать заражённую систему и подгружать дополнительные вредоносные модули. Анализ жертвы включает сбор данных об установленном софте, сетевых настройках и правах доступа текущего пользователя. Полученные сведения передаются операторам, которые решают, как действовать дальше.
В зависимости от ценности цели злоумышленники могут развернуть различные типы вредоносов. Это могут быть похитители паролей и личных данных, программы-шифровальщики для вымогательства, а также инструменты удалённого администрирования. Модульная архитектура позволяет настроить атаку под специфику каждой заражённой машины.
Более того, исследователи обнаружили, что кампания распространилась на другие популярные продукты. Мошенники создали поддельные версии программы управления камерами видеонаблюдения WisenetViewer от южнокорейской компании Hanwha. Аналогичную тактику применяют для компрометации пользователей, которые ищут специализированное ПО безопасности.
