16/04/21
Специалисты ИБ-компании Bolster рассказали о том, как злоумышленники используют технику typosquatting для создания доменных имен, замаскированных под популярную торговую площадку Rarible по продаже NFT-токенов (Non-Fungible Token). Посещение таких сайтов приводит к установке вредоносного ПО на устройстве жертвы.
NFT (non-fungible token) — нечто вроде нового вида криптовалюты, существующей исключительно в своей криптосистеме. Фактически это особая форма владения цифровым искусством, закрепленная уникальным токеном. Владелец токена становится единоличным обладателем определенного цифрового объекта — будь то картинка, GIF, видео, публикация в Twitter или песня.
Поисковые системы по большей части хорошо справляются с тем, чтобы скрыть мошеннические домены с типографскими ошибками из результатов поиска. Однако злоумышленники часто используют сообщения в мессенджерах WhatsApp и Telegram, прямые сообщения в социальных сетях или даже рекламу для распространения поддельного домена.
Например, эксперты обнаружили домен wwwrarible[.]сom, в котором отсутствует точка между www и rarible. Когда посетители по ошибке нажимают на URL-адрес данного домена, они попадают на web-сайт, предлагающий установить поддельное обновление Firefox. Одно из расширений для браузера внедряет рекламу на посещаемые пользователем сайты и отслеживает активность в интернете.
Другие домены перенаправляют посетителей на различные мошеннические ресурсы, включая азартные игры, поддельные сайты знакомств, предназначенные для хищения данных, а также поддельные страницы технической поддержки. В одном из случаев пакет рекламного ПО установил майнер криптовалюты на тестовом устройстве специалистов.
Как полагают эксперты, мошенники продолжат пользоваться возрастающей популярностью NFT, создавая поддельные торговые площадки по продаже NFT и раздачи токенов
Typosquatting (Тайпсквоттинг) — регистрация доменных имен, близких по написанию с адресами популярных сайтов в расчете на ошибку части пользователей.
