Главная страница » Индикаторы компрометации
0
6 часов
Индикаторы компрометации

Мошеннические браузеры, мессенджеры, VPN и не только: как сотни поддельных доменов распространяют вредоносное ПО среди китайскоязычных пользователей

information security

С середины 2024 года в сети наблюдается активная кампания, в рамках которой для целевых атак на китайскоязычных пользователей было зарегистрировано более четырёхсот доменных имён. Злоумышленники создают фишинговые сайты, имитирующие страницы загрузки популярного ПО, включая браузеры, VPN-сервисы, мессенджеры, почтовые клиенты, инструменты для криптовалют и даже гейминг-платформы. Основной целью является скрытная установка на компьютеры жертв троянов и похитителей данных, таких как Gh0stRAT, ValleyRAT, RemKos RAT, LummaStealer и RedLine.

Описание

Анализ инфраструктуры показывает высокую степень организованности. Все домены имеют общие черты: они используют услуги регистраторов вроде Dominet (HK) Limited и 22net, размещаются на хостингах Amazon, CloudFlare, Alibaba и CloudRadium, а также применяют короткоживущие SSL-сертификаты сроком на 90 дней. Технические детали, такие как одинаковые шаблоны кода и статическое отображение контента на китайском языке, прямо указывают на целевую аудиторию. Эксперты полагают, что под удар попадают не только пользователи в материковом Китае, но и китайскоязычное население Гонконга, Малайзии и других регионов.

Поддельный сайт

Одной из распространённых тактик является создание поддельных страниц загрузки VPN-сервисов, таких как LetsVPN или Kuailian Accelerator, которые часто используются для обхода интернет-цензуры. Посетителям предлагают скачать файлы с именами вроде "letsvpn-latest.exe" или "letspn-latest.exe", которые на самом деле являются троянскими загрузчиками. Механизм доставки часто использует JavaScript для динамического формирования ссылки на вредоносный payload (полезную нагрузку), что усложняет статический анализ.

Помимо VPN, злоумышленники активно имитируют страницы входа в популярные сервисы, включая Google Mail, Outlook, QQ Mail и 163 Mail. Эти фишинговые страницы, выглядящие аутентично, вместо данных для входа загружают архивы с похитителями данных RedLine и LummaStealer. Другие домены притворяются сайтами известных компаний, например, Genting Trust Union, предлагая маркетинговые инструменты. Однако для доступа к функциям пользователя принудительно скачивают установщик, содержащий трояны Gh0stRAT и Farfli.

Среди целей кампании - широкий спектр приложений: от удалённого доступа (AnyDesk, ToDesk, Sunflower) и безопасной коммуникации (Signal, Telegram, Enigma) до финансовых сервисов (Yiji Pay) и профессионального ПО (Adobe, DeepL Pro). Этот разнообразный набор приманок увеличивает шансы на успешное заражение, поскольку затрагивает интересы разных групп пользователей - от бизнес-аудитории до геймеров и энтузиастов криптовалют.

Исследователи отмечают, что масштаб, продолжительность и методика этой активности демонстрируют сильное совпадение с ранее документированными операциями предполагаемой APT (Advanced Persistent Threat, усовершенствованная постоянная угроза) группы, известной под именем Silver Fox. Сходства включают фокус на китайскоязычных пользователях, использование одних и тех же семейств вредоносного ПО, в частности ValleyRAT, а также схожие шаблоны инфраструктуры. Всё это указывает на высокоорганизованную и хорошо финансируемую структуру, возможно, связанную с коммерческим хакерским наймом или государственным спонсорством.

Основная опасность кампании заключается в её системности и долгосрочности. Вредоносное ПО, распространяемое через эти сайты, предназначено для операционных систем Windows и обладает широкими возможностями. Похитители данных собирают учётные данные, cookies, данные криптокошельков и информацию о системе. Удалённые трояны (RAT) предоставляют злоумышленникам полный контроль над заражённым компьютером, что позволяет проводить последующие атаки, шпионить или использовать устройство как плацдарм для движения внутри сети. Специалисты предполагают, что компрометация может быть массовой и неразборчивой с целью последующей фильтрации данных и поиска высокоценных целей, таких как корпоративные сети или учётные записи сотрудников организаций.

Таким образом, текущая волна атак подчёркивает классическую, но всё ещё эффективную угрозу. Пользователям, особенно ищущим специфическое или ограниченное в их регионе ПО, необходимо проявлять повышенную бдительность. Рекомендуется скачивать приложения только с официальных сайтов разработчиков, проверять доменные имена на наличие опечаток, использовать надёжные антивирусные решения и обновлять программное обеспечение. Для организаций критически важны обучение сотрудников кибергигиене и внедрение систем мониторинга трафика, способных обнаруживать аномальные подключения к подозрительным доменам.

Индикаторы компрометации

Domains

  • 007z.top
  • 1633.site
  • 163e.top
  • 163i.top
  • 16cilz.xyz
  • 1o2mp.cyou
  • 2345kantup.xyz
  • 2345kingtuwang.com
  • 2345ktws.xyz
  • 360browsap.top
  • 360z.fit
  • 6h4s3s.top
  • 70ka.club
  • a1shung.club
  • adober.club
  • adspowerr.top
  • aisbb.cyou
  • andesksr.com
  • anydeisk.top
  • anydesik.com
  • anydesik.top
  • anydesikq.top
  • anydeskcn.top
  • anydeskq.online
  • anydeslk.top
  • avez.top
  • avre.work
  • baidu-a.cyou
  • baidu-a.top
  • baili888.club
  • bananagun.fit
  • bananagunn.cyou
  • bananaguns.club
  • baofupay.top
  • baofuupay.com
  • bitbrowcer.xyz
  • bitbrowsec.top
  • bitbrowseq.top
  • bitbrowsers.work
  • bitbrowsez.top
  • bitbrowsri.top
  • bitbrowszer.top
  • bitbrwoser.fit
  • bitbrwoser.top
  • bitbrwwser.top
  • bitpiez.club
  • bitteroser.top
  • b-jipay.com
  • b-jlpay.top
  • bmgsn6.top
  • bntbrowcer.xyz
  • bpss5vp.top
  • browseri.vip
  • btbrowserq.top
  • btxueo.top
  • cgpay.vip
  • chachap.top
  • chme1.xyz
  • chmole.club
  • chrmpw.top
  • chromexn.com
  • clashcn.club
  • clashcn.top
  • clashcn.xyz
  • cnacn3.top
  • comprz.top
  • cpgpay.site
  • crlg1wm.com
  • cs-quickq.com
  • deepil.top
  • deepli.top
  • deepll.top
  • deepll.xyz
  • deeplti.xyz
  • deeplx.top
  • dexscreener.fit
  • dexscreeners.icu
  • dezscreener.work
  • dfapp188.world
  • easytran.top
  • ecprss.com
  • eiyy.top
  • enigmar.fit
  • eniigme.club
  • eu0af6.club
  • eyy350.top
  • eyy5201.top
  • eyyqp.top
  • eyys.xyz
  • eyysi.top
  • eyysm.com
  • eyyz.top
  • f3jb5x.top
  • fah-0.zip
  • fckjo9.club
  • firefoxz.top
  • flashproxy.cc
  • freetalk.online
  • fsquhgne.com
  • fzqecfyi.com
  • g2ks0z.com
  • g465cn.com
  • gckgmwc1.top
  • gmaib.top
  • gmgmai.club
  • gmgmai.work
  • goe.icu
  • googleseso.top
  • googlez.top
  • googlre1.top
  • goople.top
  • gotonesms.xyz
  • gotonesn.top
  • heepayx.xyz
  • hellowordx.club
  • hellowordx.fit
  • hellowordz.top
  • helloworldcz.xyz
  • helloworldw.site
  • helloworldw.top
  • helloworldz.top
  • helloworlids.top
  • hgb4hxl070.com
  • huifub.club
  • huionepay.vip
  • huorong.online
  • huorong.site
  • huorong.work
  • huoroug.top
  • huorrong.xyz
  • huoswe.top
  • huurongs.top
  • hvr3ez.work
  • i4app.top
  • i4b6.club
  • i4sa.xyz
  • i4sapp.top
  • i4sp.top
  • i4toos.life
  • i4z.xyz
  • ibzeha.vip
  • iilne.fit
  • iilne.top
  • iines.xyz
  • ilren.top
  • imbken.club
  • immersivetranslate.top
  • interhclp.com
  • isdndjsq.top
  • j6ahar4i.top
  • jdad7q.work
  • jiguang.icu
  • kantu2345.club
  • karlospt.top
  • karlosqp.xyz
  • karlost.club
  • keuailian.top
  • kingtelmfng.top
  • kipkshsa.top
  • klxiazopai.com
  • kuaiiam.fit
  • kuaiilianoo.icu
  • kuaiiyian.com
  • kuai-lian.xyz
  • kuailian0.com
  • kuailian8.com
  • kuailiani.net
  • kuailianlow.com
  • kuailiant.com
  • kuailianz.com
  • kuailiien.xyz
  • kuailijen.xyz
  • kuailim.buzz
  • kuailxian.com
  • kuaizip.top
  • kualien.xyz
  • kueliien.xyz
  • kuellien.xyz
  • kwgiz1.club
  • lanlevp.top
  • lediam.xyz
  • letrscp.fit
  • lets-alyays-connect.com
  • letsbutr.com
  • letscdn.world
  • letscgn.top
  • letscqn.top
  • letskuail.icu
  • letspcm.top
  • letspcn.icu
  • letspcn.xyz
  • letspqc.top
  • letspqw.fit
  • letspw.top
  • letsqpr.top
  • letsqpw.club
  • letsqpz.club
  • letsqqp.club
  • letsrpm.top
  • letsrqn.top
  • letsvpn-ui.top
  • letsvqm.xyz
  • letsvqr.xyz
  • letwvpn.com
  • lianlianpoy.com
  • liien.top
  • liine.fit
  • liine.work
  • llnes.world
  • lltslian.life
  • loubom.club
  • lttslian.xyz
  • luoboo.online
  • m7neqzz.fit
  • mavishub.xyz
  • mctuqqe4z.top
  • me18qiyg.xyz
  • meipai.work
  • meiqias.xyz
  • mesenger.club
  • messengers.work
  • messengerz.club
  • mexiko.cn
  • mi163.top
  • miitu.top
  • miluvpn.com
  • modbydto.com
  • mwai1.xyz
  • nexchattc.cc
  • nn3cotp.top
  • nsmnst.club
  • officeim.club
  • oggie.club
  • oggie.fit
  • oggie.top
  • oggiechr.work
  • ogglchomr.top
  • oggle.club
  • oggle.top
  • oggle.xyz
  • oggles.xyz
  • ogglesr.top
  • oiggle.club
  • okyi.work
  • oogchrm.club
  • ooggie.top
  • ooggie.xyz
  • ooggle.top
  • ooggles.top
  • oogglez.top
  • oogglez.xyz
  • oogie.club
  • oogie.fit
  • oogiel.top
  • oogiew.work
  • oogiie.top
  • oogles.top
  • ooglex.top
  • ooglex.xyz
  • ooglie.xyz
  • ooglz.top
  • ooglze.fit
  • ooigle.xyz
  • oolqow.top
  • opjs.club
  • oracl.top
  • orayi.world
  • orays.top
  • orey.online
  • oreyr.work
  • oreyz.top
  • ouggle.fit
  • paga1io.top
  • paopaom.online
  • paydocs8.com
  • pgaab.icu
  • pht0j.cyou
  • potatocn.xyz
  • pppicd.icu
  • pqqle.club
  • q0nmsl.fit
  • qeaick.buzz
  • qmail.work
  • qmails.top
  • qqgj.online
  • qqis.work
  • qqsgs.com
  • quarki.top
  • quicka.top
  • quickiq.top
  • quickq.fit
  • QuickQ.zip
  • quickq0101.cyou
  • QuickQ-18.zip
  • quickq2.cc
  • quickqgf.com
  • quickqgf.net
  • quickqgw.com
  • quickqgw.net
  • quickqi.net
  • quickqi.top
  • quickqza.icu
  • quickqzc.top
  • quickxq.xyz
  • quiicka.xyz
  • quiickqz.top
  • quiirkq.club
  • quirkq.work
  • qwapmuuq.com
  • qwf123.cyou
  • rggmo7j.club
  • rtuoxxsr.com
  • salesmart.top
  • sanderpay.top
  • sandipay.top
  • sandlpay.top
  • sandpray.top
  • shandpay.top
  • shandpey.world
  • shanghud.com
  • shengfuton.com
  • shimoc.club
  • signall.xyz
  • signel.top
  • skyes1.top
  • slqdgo.club
  • sms-activation.club
  • smsactive.top
  • smsnet.top
  • snapcheat.club
  • snipaste.top
  • soogoo.icu
  • soogou.store
  • sougoo.site
  • sougous.top
  • sougous.xyz
  • soulgou.club
  • steams.top
  • sublitmext.xyz
  • subllmatxt.top
  • surrl9oa.top
  • szyyotmp.com
  • t0v0hlp.top
  • taufp6.top
  • teamviewers.club
  • teiegram.ing
  • telagrmaxjsq.top
  • teleagrmone.top
  • teleepcrme.work
  • teleeqcrme.top
  • telegcvme.fit
  • telegczem.club
  • telegramn.vip
  • telegrcm.ing
  • telegrimz.club
  • telegrinxkam.top
  • telegrpcm.xyz
  • teleigpcm.club
  • teleigpcm.vip
  • telepcem.club
  • telepcems.fit
  • telepeqrm.fit
  • telepqrm.work
  • teleprzm.fit
  • telepwam.club
  • teleqcam.club
  • teleqcrmn.club
  • teleqcrmn.fit
  • teleqercm.work
  • teleqpczm.club
  • tgsheng.top
  • tittia.top
  • tletsvpn.xyz
  • todaskek.xyz
  • todaski.club
  • todesik.top
  • todeskc.top
  • todeskei.xyz
  • todeskeq.top
  • todeskiz.club
  • todeskze.top
  • todeskzis.xyz
  • tradingview.trade
  • ttcy365.com
  • twyudoft.com
  • ui4.club
  • uletsvpn.xyz
  • upcupe.xyz
  • uphot.net
  • uq7djw.xyz
  • utuncloud.world
  • vb0ep.club
  • vejm60.top
  • viber.cc
  • viber.cyou
  • viberi.xyz
  • vibers.site
  • vibers.top
  • vibers.work
  • villa.yiluying.com
  • visvpn.cyou
  • vletsvpn.xyz
  • vltlpung.com
  • vzvlco.top
  • wangr.club
  • wangwangtalk.club
  • wgoole.fit
  • whapps.club
  • whapps.fit
  • whapps.work
  • whatsacppy.club
  • whhapps.club
  • whhapps.fit
  • whtpps.club
  • whtpps.fit
  • whtpps.work
  • whtsaps.club
  • whtsaps.fit
  • whtsaps.vip
  • whtsaps.work
  • wiinrar.top
  • win32-quickq.zip
  • winrarsz.top
  • winzips.work
  • wipses.fit
  • wletsvpn.xyz
  • wppsi.top
  • wpsco.xyz
  • wpsei.com
  • wpsie.top
  • wpsim.top
  • wpsio.top
  • wpsiz.xyz
  • wpsla.site
  • wpsma.top
  • wpsqm.com
  • wpsqr.xyz
  • wpsqx.top
  • wpsrc.top
  • wpsrc.work
  • wpsrs.xyz
  • wpss.xyz
  • wpssq.top
  • wpsxi.club
  • wpsxm.xyz
  • wpsxz.xyz
  • wpsyz.top
  • wpszm.top
  • wudps.xyz
  • wuyoujieee.com
  • wymusic.fit
  • wymusic.top
  • xiaohuojians.top
  • ximmlang.club
  • xingqiiu.club
  • xingzuan.club
  • xingzuan.fit
  • xingzuan.online
  • xingzuan.xyz
  • xinlang.work
  • xinmeng.xyz
  • xinzuan.top
  • xmengapp.top
  • xxyy.work
  • xzpay.work
  • yiiji.xyz
  • yiijifu.com
  • yijfu.com
  • yoadao.xyz
  • yodaou.top
  • yoodao.fit
  • yoodaoi.club
  • yoodaou.xyz
  • yoodau.top
  • yoodau.xyz
  • yoodou.top
  • youdaoie.top
  • youdaox.top
  • youdaoz.top
  • youdoau.top
  • youdoo.top
  • youdou.xyz
  • yqdesk.top
  • yuanq.top
  • yuduba.xyz
  • z42f1m.top
  • zhekou838.cn
  • ziniao.fit
  • zoomi.fit

SHA256

  • 005bdfdde6a0d0718ac60bcc7071bd87d0ac869308cf8dd7ed8afa7478709ba9
  • 29163c8afb477b27f700e1c5eac694a6cbb816a86c8eadbbbac6ba5c034a9c96
  • 443a4ce93232d56f0d1d15e6875f7eff5fc581f25df320e277608be0d1148fa1
  • 5283873308336ae1011ebfe1d057621413b7d528340e45d76359850d5589e662
  • 73083665902ccc0cf7cbd48af24ecd62205ff2f0970e3206f6f9be5ae096bc46
  • 7aa498dc87e734e306f850082fad723ca7c05ef2f0a84c5232111eb3e86156fc
  • 7ac5b8905c760bf38d38761efc56362799f8a40b4fe2d570f56472b83a625360
  • 839e314d6027977399ee486d1cadba972685550ab97467ec77ef746ffc81a478
  • 927474984e549f9d1269950e5782f755cb96f11d404a3cac56114d1e795609c5
  • a099f02c95b99abfcb3825d795797a11d69a08dc0d95e9171325dc13a9bcd796
  • adb6afadbd9f31a2c6548b6e3c6378a7164a3604c04332e48a409c16faf4f598
  • bb152e75a72aa3ae675561f308614eba6c070e55e3895bc1b67125689dc24cee
  • bfb90dfe0d6b4342489c4e8aa9c5ef803e462e0b451cb9ad016f2afba39fedf9
  • c7531f022be3a5e33aa71aadcd5f0b5ae9989c7980b3a218e1e1415f6b61953d
  • ce34cc14e8d26119e1bf28a3a8368da6e10d13851004e2675976c5ad58b122e2
  • d1c9957bd55933a619d22e741fadcee6085e679e66af5cd8edbff7d9cf8fd4cf
  • d219a6056e1f65507c984475711bd7e674b1319d11fd7a1149f3da983fd4f7c8
  • d75a2b9d03aab50d9f3eb6afbde06034adec7a183dfcaf090ce78e4cd7a59117
  • e09056567f146da73aa0c4266a15cd61655e4402146b75a836d1c92926cd37c4
  • e15a6646d20b4aa486f06fa81a1af55be0bd99dbff85cbd7a7a29d15ad73a693
  • e5205e1964b63ce14c85dd2c1ff6cdb06b3b1d323ccdbe0b2d6368a88dfe8f70
  • f309c2c4847a5c888a580a2b154dfa1168016a9c3a335890f1b9e201819857e3
  • fe1b5431ae27c85b1c652e3ac9541c2a801540c02c04fa7f4a3a9543c284eca5
  • fe86e1fff0afefd79de4fd26f041757495c5fadd116400699411a200978f0e41
Комментарии: 0
Похожие записи
0
25.11.2025
Индикаторы компрометации

Утечка документов APT35 раскрывает бюрократизированный аппарат кибершпионажа Ирана

APT
В октябре 2025 года на GitHub произошла утечка внутренних документов APT35, также известной как Charming Kitten. Анализ материалов выявил деятельность не хаотичной хакерской группировки, а строго регламентированного
0
11.06.2025
Индикаторы компрометации

FIN6 атакует через облачные сервисы: как киберпреступники используют доверие и AWS для доставки вредоносного ПО

APT
Группировка Skeleton Spider, также известная как FIN6, продолжает совершенствовать свои методы атаки, используя социальную инженерию и облачные сервисы для распространения вредоносного ПО.
0
23.09.2025
Индикаторы компрометации

Банковский троянец атакует пользователей Android в Индонезии и Вьетнаме

Banking Trojan
С августа 2024 года злоумышленники целенаправленно атакуют пользователей Android в Индонезии и Вьетнаме с помощью банковских троянов, маскирующихся под легитимные приложения для платежей и государственной идентификации.
0
11.06.2025
Индикаторы компрометации

Зловредная кампания с VenomRAT: фишинг под Bitdefender и кража данных

remote access Trojan
Злоумышленники развернули масштабную кампанию по распространению вредоносного ПО, используя поддельный сайт, имитирующий страницу загрузки антивируса Bitdefender.