Поддельные сайты для Keepass и AdBlock распространяют рекламное ПО
InstallCore «привязывает» рекламное ПО к легитимному в процессе инсталляции.
Исследователь безопасности Иван Квятковски (Ivan Kwiatkowski) раскрыл схему распространения рекламного ПО с использованием сайтов-клонов известных ресурсов. Благодаря не вызывающему подозрения доменному имени мошенники заставляют жертв скачивать популярные приложения с рекламным ПО.
Первым Квятковски обнаружил сайт keepass.fr, который злоумышленники пытались выдать за keepass.info. Загружаемая с него версия Keepass действительно содержит легитимный менеджер паролей, однако помимо него также устанавливает рекламное ПО InstallCore.
Данная программа представляет собой модульную угрозу, «привязывающую» рекламное ПО к легитимному в процессе инсталляции. К примеру, при установке приложения для записи CD-дисков ImgBurn она также предлагает установить бесплатную версию антивируса AVG. За каждую загрузку пользователем дополнительного ПО операторы InstallCore получают комиссионные.
Некоторые дополнительные приложения действительно являются легитимными, однако в прошлом ПО наподобие InstallCore не раз было уличено в распространении вредоносных программ. В частности, с его помощью злоумышленники распространяли майнеры криптовалют, перехватчики поиска в интернете, рекламное ПО и пр.
Помимо keepass.info, эта группа мошенников подделывает и другие сайты, распространяя через клоны такие программы, как 7Zip, Inkscape, Scribus, GParted, Celestia, Audacity, Filezilla, Truecrypt, Blender и AdBlock. Большинство ресурсов зарегистрированы в доменных зонах .fr или .es и являются испано- или франкоязычными.