Поддельные сайты для Keepass и AdBlock распространяют рекламное ПО

Поддельные сайты для Keepass и AdBlock распространяют рекламное ПО

InstallCore «привязывает» рекламное ПО к легитимному в процессе инсталляции.

image

Исследователь безопасности Иван Квятковски (Ivan Kwiatkowski) раскрыл схему распространения рекламного ПО с использованием сайтов-клонов известных ресурсов. Благодаря не вызывающему подозрения доменному имени мошенники заставляют жертв скачивать популярные приложения с рекламным ПО.

Первым Квятковски обнаружил сайт keepass.fr, который злоумышленники пытались выдать за keepass.info. Загружаемая с него версия Keepass действительно содержит легитимный менеджер паролей, однако помимо него также устанавливает рекламное ПО InstallCore.

Данная программа представляет собой модульную угрозу, «привязывающую» рекламное ПО к легитимному в процессе инсталляции. К примеру, при установке приложения для записи CD-дисков ImgBurn она также предлагает установить бесплатную версию антивируса AVG. За каждую загрузку пользователем дополнительного ПО операторы InstallCore получают комиссионные.

Некоторые дополнительные приложения действительно являются легитимными, однако в прошлом ПО наподобие InstallCore не раз было уличено в распространении вредоносных программ. В частности, с его помощью злоумышленники распространяли майнеры криптовалют, перехватчики поиска в интернете, рекламное ПО и пр.

Помимо keepass.info, эта группа мошенников подделывает и другие сайты, распространяя через клоны такие программы, как 7Zip, Inkscape, Scribus, GParted, Celestia, Audacity, Filezilla, Truecrypt, Blender и AdBlock. Большинство ресурсов зарегистрированы в доменных зонах .fr или .es и являются испано- или франкоязычными.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle