DomainTools研究发现与最近针对Windows和Android用户的恶意软件活动相关的其他基础设施
最近的帖子与针对Windows和Android用户(以及大量加密货币和其他服务)的拼写错误恶意软件有关的事件引起了我们的注意,我们认为有必要为识别和打击这些类型的攻击做出贡献。
合作和公开共享信息,以帮助保护用户和他们所依赖的服务,是我们DomainTools使命的重要组成部分,我们每天都在为每个人争取一个安全、可靠和开放的互联网。我们赞赏这种强调这些领域存在的努力,尽管我们担心这只是冰山一角。
使用DomainTools数据,我们的研究人员发现了几个支点,表明与这个活跃的活动相关的更大的一组域。当DomainTools研究人员将超出主机IP地址的基于dns的支点包括在内时,到目前为止,可疑域名的列表增长到600多个,其中9个是上周创建的,超过400个仍然活跃,尚未在常见的第三方威胁情报feed和屏蔽列表中。
注册和SOA模式发现恶意域
审查Whois内相邻的“起始授权”(SOA)记录DomainTools虹膜调查显示了参与者活动的真正深度和广度。虽然大部分域名注册发生在2022年下半年,但记录显示,有一些域名注册可以追溯到2021年秋季。要查看超过600个已识别域名的完整列表,请点击在这里为进一步的信息。
回顾一下这些新域名,他们都希望使用类似的网页设计作为可能的诱饵。如果它们遵循类似的模式,就会传播各种恶意软件,其中大多数恶意软件的设计目的是在受感染的设备上实现持久性,并可能用于未来向毫无戒心的目标投放诱饵。通过与越来越流行的Vidar窃窃器和其他恶意软件的联系,人们可以合理地得出结论,这种活动的最终目标是窃取应用程序帐户、加密钱包等的凭证,并可能使用受感染的主机作为进一步恶意活动的代理。
虽然我们还没有验证任何具体的恶意网站,但我们认为,让公众意识到与这次攻击相关的活动的全部范围是很重要的,我们强烈建议人们避开这些域名,直到安全研究人员能够调查并确定哪些是恶意的。这个场景是一个很好的例子,说明防御者可以从使用域相关数据集的转向中受益,并且可以轻松地标记有问题的域。
