Сотрудники компании Google заблокировали потенциально опасную рекламную кампанию, с помощью которой кибермошенники зазывали юзеров на фальшивый сайт браузера Brave. Там пользователь ожидал замаскированный под указанный браузер троян ArechClient (SectopRAT). Чтобы обеспечить приток просмотров сайту-фальшивке, аферисты приобретали в Google рекламу, демонстрируемую тем, кто разыскивал что-либо, упоминая слово «браузер».
Специалисты сообщают, что смогли распознать эту хитро замаскированную обманку, направлявшую потенциальные жертвы на небезопасный интернет-ресурс, который ожидал их по адресу bravė.com. Обратите внимание: в адресе использована характерная не совсем английская литера «ė», которая используется, например, в литовском языке.
Для того чтобы усыпить подозрения вероятных жертв, аферисты применяли Punycode, позволяющий обходить защитные фильтрующие преграды, и это достаточно известная и не самая новая уловка. Punycode представляет собой специальную технологию для работы с алфавитно-цифровыми последовательностями, чье употребление вполне допустимо в доменных наименованиях. Punycode разработали, чтобы однозначно преобразовывать доменные имена в ASCII символы.
В пользовательском браузере домен bravė.com принимал новый вид xn--brav-epa.com, но обычные юзеры часто не придавали этому значения.
Сайт-фальшивка целиком копировал дизайн сайта Brave и настойчиво навязывал зашедшим скачать файл ISO, весивший 300 мегабайт, выдавая его за инсталлятор браузера Brave. Как ни удивительно, но настоящий установщик браузера там тоже имелся, однако к нему прилагалась малварь ArechClient (SectopRAT), позволяющая похищать данные из браузеров и криптокошельков.