从2020年11月到2021年2月,参与技术支持诈骗的威胁分子一直在包括PornHub在世界上更大的成人平台上发起browser locker活动。
该活动背后的团伙已经活跃了很长一段时间,我们认为这与我们以前发现的一些骗局有关,使该团伙成为迄今为止更大的技术支持骗局之一。
1月下旬,我们听到了几个关于虚假的故事Microsoft警告投诉,并开始调查。MindGeek旗下的PornHub、RedTube和YouPorn广告公司等品牌TrafficJunky发现了一些欺骗性广告商使用的欺骗 *** 友网站。
诈骗者伪造了这些虚假身份,将流量从成人平台重定向到显示虚假警报的页面,声称用户已经感染了色情间谍软件。这个著名的骗局试图恐吓受害者,要求他们打 *** 给所谓的技术人员寻求帮助,但实际上这个操作骗了他们几百美元。
我们向MindGeek报告了我们的发现,并继续跟踪和分享新的情况。我们认为,在完全暴露和被执法部门逮捕之前,威胁者将继续欺骗新的受害者。
重定向链接
我们捕获了几个恶意广告重定向链,过程几乎相同。通过遥测,我们了解到恶意广告商主要针对美国和英国的受害者:
- 用户点击播放视频
- 打开新的浏览器窗口
- 发送请求TrafficJunky广告平台
- 投放广告,向诱饵交友网站发出请求
- 重定向会立即加载browser locker
可以在下面traffic capture总结此事件序列:
恶意广告链的关键部分是使用许多不同的虚假约会门户网站,这些门户网站隐藏了browser locker的重定向机制。
起因
这个browser locker活动在PornHub它在出现之前就已经开始了,也许是因为一种巧妙的排版技巧,它已经很久没有被发现了。后来,我们发现我们一直在被愚弄,因为这个活动很明显。
20205月21日,威胁者注册域名sassysenssations.com,它包含一个故意拼写错误(两个“'”),模仿属于合法企业的合法企业sassysensations.com。
它的真实域名是在2014年注册的,我们甚至在2019年4月26日在推特上发布了一个域名路牌广告,比诈骗者注册的山寨域名要早得多。
威胁者狡猾的是,他们似乎没有为假域名建立一个真实的网站,而是在访问者与恶意广告活动参数不匹配的情况下,将所有流量重新定位到真实网站。
但恶意广告链显示,它们利用该领域实施有条件的重定向,如下所示:
(1) *** hub[.]com/_xa/ads?zone_id=[removed]
(2) ads.trafficjunky[.]net/click?url=https://sassysenssations[.]com%
(3) sassysenssations[.]com/track.php?CampaignID=[removed]&Sitename=Pornhub
(4) errorhelpline24x7msofficialsoftwareerrorcodex12[.]monster
后来,除了使用sassysensations除了身份,威胁者还创建了许多虚假的约会网站作为重定向,使他们的计划多样化。
虚假交友网站
恶意广告商使用之前尝试过的模型,包括设置伪造身份以获得访问广告平台的权限。在这种情况下,我们对约会网站和男女约会网站进行分类。然而,它们中的大多数似乎不是真实的或功能性的,甚至是‘Lorem ipsum’文本填充符。
如果你直接访问这些网站,你可能看不到任何你感兴趣的东西,但这些网站至少没有伤害。然而,欺诈性广告商可以很容易地遵循它们IP地址、referer与其他人为因素轻松重定向流量。
我们检测到近100个诱骗域名被设置为“广告登录页面”,用于重定向受害者browser locker骗局。即使模板只完成了一半,威胁参与者仍然花费大量时间创建大量库存,他们可以重定向browser locke的过程中循环浏览。
Browser locker
Browser locke用假的Microsoft Windows Defender根据用户是扫描仪的常见主题Windows还是Mac,有些浏览器配置文件可以提供正确的模板。
在浏览了许多诱饵网站之一时,我们在公共目录中找到了它HTML显示了源代码browser locke其他一些变体:
虚假广告的基本结构
因为这是一项长期的活动,所以基础设施相当大,但根据一般惯例,我们倾向于使用相同的域名。下图只显示滥用TrafficJunky域名由广告平台创建。它不包括browlock本身的域。
其中一个域名,即recipesonline365 com,它的命名实践不同于一般的约会网站。事实上,这是唯一一个以非成人内容为主题的网站。
(1) you *** [.]com/_xa/ads?zone_id=[removed]
(2) ads.trafficjunky[.]net/deep_click?adtype=pop&url=https://recipesonline365[.]com
(3) recipesonline365[.]com/?aclid=[removed]
(4) oopi3.azurewebsites[.]net/Winhelpxcode161616winHelpSecurity0nlineCH007
早在2019年6月,我们就确定了一个关于食谱中关键词的广告系列。威胁犯罪者使用诱饵食谱和食品网站来吸引受害者。这些网站实施了与诱饵约会网站相同的重定向机制,大多数时候也导致托管Azure上的browlock。
该活动与成人活动有许多其他相似之处,如主要使用NameCheap托管和大量诱骗网站。因此,我们认为这可能是同样的威胁参与者。
保护
Browser locker它本身并不危险,它们只是一个虚假的警告,可能会干扰我们,但这并不意味着计算机有问题。
近年来,它们变得非常普遍,并将影响所有浏览器,甚至包括移动浏览器。在过去,browser locker总是给我们留下这样的印象,也就是说,browser locker机器总是因为滥用用户界面而被锁定。众所周知,它们中的大多数可以在没有特殊命令的情况下正常关闭。
Malwarebyte保护用户免受此次活动的影响。Browser Guard可使用启发式技术进行检测和扩展browser locker,不需要持有已知域名或已知域名IP地址黑名单。
妥协的指标
可以从我们的GitHub(https://github.com/M *** hreatIntel/TSS/blob/master/ *** _malvertising.txt)下载IOC列表。
本文翻译自:
https://blog.malwarebytes.com/cybercrime/2021/02/malvertising-campaign-on-top- *** -brands-exposes-users-to-tech-support-scams/