Обнаружена новая киберкампания, использующая вредоносные сайты, размещенные в доменной зоне Омана — .om. Злоумышленники умышленно регистрируют их в надежде на опечатки пользователей, обращающихся к ресурсам в обширной TLD-зоне .com. Примечательно, что зловред, используемый в рамках данной кампании, атакует лишь компьютеры, работающие под управлением OS X.

Исследователи из ИБ-компании Endgame выявили свыше 300 om-доменов с широко известными именами: Citibank, Dell, Macys, Gmail и т.п. Поддельные сайты размещены у разных хостинг-провайдеров и, видимо, используются несколькими группами злоумышленников.

Судя по всему, мишенью данной киберкампании являются пользователи Mac OS X. Как обнаружили в Endgame, при заходе на сайт тайпсквоттеров с компьютера Apple визитеру отображается поддельное сообщение о необходимости обновить Adobe Flash. На самом деле с помощью этой расхожей уловки злоумышленники пытаются убедить пользователя загрузить модуль для показа рекламы, известный под именем Genieo.

Genieo, согласно Endgame, — это «рядовой вариант вредоносного ПО/adware для OS X», который «обычно проникает в систему пользователя под видом обновления для Adobe Flash». Оказавшись на целевой машине, зловред прежде всего загружает dmg-контейнер OS X. «Затем Genieo закрепляется на хосте, устанавливаясь как расширение к разным поддерживаемым браузерам (Chrome, Firefox, Safari)», — пишет в блоге Endgame Марк Дюфрень (Mark Dufresne), директор по антивирусным исследованиям компании.

Если на сайт тайпсквоттеров зайдет пользователь ПК Windows, его перенаправят в рекламную сеть. «Целевая страница почти наверняка будет пестреть объявлениями, анкетами с посулом бесплатной электроники или тревожными результатами, способными побудить пользователя загрузить и запустить некий антивирус, который лишь добавит головной боли и умножит навязчивую рекламу», — полагает Дюфрень.

В интервью Threatpost эксперт также отметил: «Мы не зафиксировали ничего сверх тайпсквоттинга для раздачи хорошо известного зловреда Genieo и перенаправления в рекламные сети. Однако, судя по объему трафика, ошибочно направляемого в зону .om, эта схема может с не меньшим эффектом использоваться для распространения гораздо более серьезных угроз».

В ходе анализа текущей кампании исследователи также обратили внимание на регистрационные данные и веб-хостинг. «334 om-сайта, связанных с хорошо известными в Интернете именами, размещены у 15 разных хостинг-провайдеров», — констатирует Дюфрень в своей блог-записи. Треть этих доменов привязаны к IP-адресам одного и того же хостера из Нью-Джерси.

«Программный стек на этих серверах оказался на удивление однородным», — пишет далее Дюфрень, добавляя, что многие серверы, к которым привязаны мошеннические домены, имеют непропатченные уязвимости, в том числе баги удаленного исполнения кода. «Эти узлы с легкостью могут использовать другие злоумышленники, и они будут отдавать альтернативный (возможно, более опасный) вредоносный контент, отличный от нынешнего», — предостерегает эксперт.

Threatpost запросил комментарий у администратора оманской доменной зоны — Telecom Regulatory Authority, однако ответ на свое письмо так и не получил. К сожалению, воздействовать на него через ICANN невозможно: как пояснили Threatpost в этой некоммерческой организации, у операторов национальных доменов верхнего уровня (в отличие от родовых) нет договорных обязательств перед ICANN, ее политика распространяется лишь на родовые TLD. По этой причине все споры в отношении использования ccTLD обычно решаются с применением правовой базы конкретной страны.

Дюфрень также не исключает, что тайпсквоттеры использовали какую-то лазейку в процедуре регистрации доменов .om. Когда оманский домен попытались зарегистрировать представители Endgame, их попросили подтвердить свое право на регистрацию коммерческого домена. «Непонятно, каким образом тайпсквоттерам удалось зарегистрировать столько доменов за такой короткий срок», — недоумевает Дюфрень.

Единственное, что исследователям удалось с уверенностью установить, — так это тот факт, что «подавляющее большинство зарегистрированных om-доменов вредоносны и входящий трафик в них необычно велик».

Категории: Аналитика, Вредоносные программы, Мошенничество