С конца 2023 года специалистами национального центра реагирования на компьютерные инциденты (CERT.BY) зафиксирована тенденция к использованию злоумышленниками доменов, мимикрирующих под легитимные. Это называется тайпсквоттинг — регистрация доменных имён, близких по написанию с адресами популярных сайтов в расчёте на ошибку части пользователей. Зачастую, данной уловкой пользуются для фишинга, чтобы усыпить бдительность жертвы и выманить с помощью поддельного ресурса логин, пароль, данные карты и любую другую информацию.
Чтобы сымитировать письмо или сайт нужной организации злоумышленники, создают домен, сочетающий ее имя и подходящее вспомогательное слово, например, Microsoft-login[.]com или SkypeSupport[.]com. Ситуация усугубляется тем, что у некоторых организацией действительно есть домены с подобными вспомогательными частями, например, login.microsoftonline.com — легитимный сайт Microsoft.
Однако, в последнее время, эту технологию используют более изощренно. Злоумышленники регистрируют доменные имена, схожие с названием антивирусных решений и «привязывают» к ним свои собственные командные центры вредоносного программного обеспечения. В последствии, при проверке в системах мониторинга запросов на разрешение доменного имени, специалисты кибербезопасности могут упустить ложные домены из виду, встретив привычное для себя название, а то и вовсе, отметить, как легитимное.
С целью противодействия киберугрозам ниже приведены примеры доменов, обнаруженные CERT.BY, которые используются конкретной группой злоумышленников в качестве командных центров ВПО:
- api.kaspersky[.]one
- api.kaspersky[.]codes
- sync.kaspersky[.]codes
- kaspersky[.]agency
Более того во взаимосвязи с эксплуатацией легальных средств удаленного доступа, применяемого злоумышленниками и особенностями работы ВПО, выявление таких киберугроз значительно затрудняется.
Для выявления обращений по указанным доменным именам, используется анализ доменных имён в трафике. Стоит обратить внимание, что в связи с использованием техники мимикрии под доменные имена организации, поиск необходимо проводить по основной части домена, без учёта доменной зоны.
При обнаружении, просим сообщить на support@cert.by.
Для удобства и своевременного оповещения о новостях подписывайтесь на нас в социальных сетях: