Опасность тайпосквоттинг-атак, нацеленных на пользователей утилиты WinUtil, привлекла внимание специалистов по информационной безопасности. Злоумышленники создают домены с намеренными опечатками, чтобы опустошать устройства жертв при посещении фальшивых сайтов.
WinUtil, разработанный блогером Chris Titus Tech, активно используется для настроек Windows, отключения сбора телеметрии и удаления ненужных программ. Утилита бесплатно доступна через PowerShell, что и стало причиной повышенного интереса киберпреступников, которые желают воспользоваться невнимательностью пользователей при наборе команд.
В отчете кибербезопасника Эрика Паркера подробно рассматриваются поддельные домены, такие как christits.com и christitu.com. Некоторые пользователи могут посетить эти сайты, которые на первый взгляд перенаправляют их на оригинальный ресурс, однако это создаёт иллюзию безопасности. Если кто-то введет неверную ссылку в консоли PowerShell, на компьютер автоматически загрузится опасный скрипт.
Фальшивый скрипт создает запланированную задачу SysCheck2, запускающую скрытый процесс SysMon.py, замаскированный как системный монитор. Этот файл защищён обфускатором PyArmor, что усложняет его присмотр. После активации скрипт скачивает на устройство жертвы два вредоносных компонента.
Первым из них является модифицированная версия популярного майнера XMRig, которая умеет скрывать своё присутствие в системе. Программа реагирует на открытие диспетчера задач Windows, уменьшая нагрузку на процессор, а затем продолжает работу, как только диспетчер закроется, что делает обнаружение затруднительным.
Вторым компонентом является утилита для кражи личных данных. Этот вредоносный софт нацеливается на извлечение паролей, данных и куки из браузера Google Chrome, давая злоумышленникам доступ к учетным записям жертв по одной опечатке.
Такой метод атак уже использовался и ранее, например, против пользователей Microsoft Activation Scripts, где преступники зарегистрировали адрес get.activate.win вместо get.activated.win. Чтобы избежать подобных угроз, эксперты советуют избегать ручного ввода длинных команд и использовать только копирование текста из надежных источников, минимизируя риск заражения.