Специалисты Google остановили вредоносную рекламную кампанию, в рамках которой мошенники заманивали пользователей на поддельный сайт браузера Brave. Под видом браузера на сайте скрывался троян ArechClient (SectopRAT). Чтобы привлечь трафик на поддельный сайт, мошенники покупали в Google рекламу, которая отображалась в том случае, если люди искали что-то, связанное с браузерами.

Исследователи рассказывают, что выявили рекламу, которая перенаправляла посетителей на вредоносный сайт. Ресурс располагался по адресу bravė.com, где слово «Brave» было написано с литовской буквой «ė», вместо обычного латинского «e».

В современном браузере вредоносный домен bravė.com превратится в xn--brav-epa.com, однако пользователи могут не обращать внимания на адресную строку, не заметив подмену.

Сайт полностью имитировал официальный сайт Brave, но там пользователям предлагали загрузить файл ISO на 303 Мб, якобы содержащий установщик Brave. Как ни странно, браузер в этом файле тоже присутствовал, но вместе с ним распространялась малварь ArechClient (SectopRAT), основная задача которой — кража данных из браузеров.

Также стоит сказать, что после обнаружения были отключены другие мошеннические сайты, которые, к примеру, маскировались под официальные ресурсы Signal и Telegram (sīgnal.com, teleģram.com).

Источник: xakep.ru