Los investigadores de seguridad han detectado una gran campaña de malware que utiliza sitios web falsos para hacerse pasar por productos y marcas populares para propagar malware. Los llamados ataques de typosquatting registran nombres de dominio que se asemejan a los nombres de dominio de productos legítimos. Muchas veces, solo un carácter es diferente, agregado o eliminado del nombre de dominio.
Si bien los usuarios de Internet atentos pueden detectar el sitio falso mirando el nombre de dominio, muchos confían en los elementos visuales del sitio para juzgar su autenticidad.
La campaña utiliza al menos más de 200 dominios de typosquatting para hacerse pasar por 27 marcas, incluidas TikTok, Figma, PayPal, SnapChat, APK Pure, Google Wallet o Microsoft Visual Studio Code.
Originalmente detectada por la firma de seguridad cibernética Cyble, la compañía creía que la campaña estaba dirigida a Android principalmente mediante la creación de sitios falsos para descargar archivos APK de Android. Nuestros colegas de Bleeping Computer descubierto que la campaña se extiende más allá de Android, ya que también se dirige a marcas en software, criptomonedas y otros nichos.
Incluso los programas populares de código abierto, como Notepad ++, Thunderbird o Tor Browser, se encuentran entre las marcas suplantadas. Algunos nombres de dominio se parecen mucho al original y la mayoría de los sitios web parecen réplicas exactas de los sitios originales.
La campaña propaga diferentes tipos de malware. Bleeping Computer encontró el malware de robo de información Vidar Stealer en un sitio falso de Notepad++, y el keylogger y RAT del Agente Tesla en un sitio que se hace pasar por el sitio web Tor Project.
Los sitios maliciosos se propagan utilizando varios métodos, incluido el correo electrónico, errores tipográficos accidentales de los usuarios y otros medios, que pueden incluir mensajes de chat, sitios sociales o SMS.
La mayoría de los sitios ya deberían estar bloqueados en los navegadores web modernos. Un intento de abrirlos en un navegador debería mostrar una advertencia de seguridad. Sin embargo, existe la posibilidad de que se creen nuevos sitios que aún no están bloqueados.
La principal protección contra este tipo de sitios es verificar la dirección del sitio antes de interactuar con él. Solo toma uno o dos segundos verificar la URL del sitio y determinar si es el sitio real o no. Si los usuarios no conocen el dominio real, pueden usar motores de búsqueda para encontrar la página de inicio correcta. A veces, los datos locales también pueden ayudar a identificar el sitio web correcto.
También es una buena idea evitar hacer clic en cualquier enlace en los correos electrónicos y en los sitios sociales.
Ahora tu: ¿verifica las direcciones de los sitios web antes de interactuar con ellos?