Web-сайт компании Dell, оказывающий помощь жертвам вредоносного ПО, несколько недель находился под контролем киберпреступников. Известно об этом стало 24 октября благодаря журналисту Брайану Кребсу, специализация которого – расследование киберпреступлений.
На компьютерах производства Dell виртуально установлена программа Dell Backup and Recovery Application, дающая возможность восстановить на устройстве заводские настройки. Периодически эта программа обращается к домену DellBackupandRecoveryCloudStorage.com, который еще недавно был основным решением, когда дело касалось резервного копирования, восстановления и хранения в облаке пользовательских данных.
Летом домен был угнан у постоянного подрядчика Dell, компании SoftThinks.com, владеющей доменным именем с 2013 года. До того, как подрядчику удалось вернуть контроль над доменом, он, по всей видимости, в течение месяца использовался злоумышленниками для распространения вредоносного ПО. На это указывает то, что спустя две недели после угона хостинговый сервер начал отображать уведомления о наличии вредоносного ПО.
Как именно киберпреступникам удалось получить контроль над сайтом, на данный момент неизвестно. Скорее всего, в SoftThinks.com просто забыли продлить регистрацию домена в июне 2017 года.
С начала июня до начала июля имя DellBackupandRecoveryCloudStorage.com было собственностью некоего Дмитрия Вассилева из зарегистрированной в Германии компании TeamInternet.com. По утверждению экспертов, все указывает на то, что компания занимается тайпсквоттингом. При этом сама компания могла ничего не делать с доменом, а просто сдать или перепродать его третьим лицам.
Стоит напомнить, что тайпсквоттинг (typosquatting от англ. type – печатать и squatting – нелегальное завладение чужим домом) – регистрация доменных имен, созвучных с названиями популярных сайтов. Узнать больше о различных видах мошенничества с доменами вы можете из наших ранних публикаций.
Источник: securitylab.ru