Facebook用户是一个骗局电子商务网络的目标,该网络使用数百个假网站,使用品牌冒充和恶意广告伎俩窃取个人和财务数据。
Recorded Future的支付欺诈情报团队于2024年4月17日检测到该活动,由于使用了相同的内容交付网络(CDN)oss.eriakos[.]com,将其命名为ERIAKOS。
该公司表示,这些欺诈网站只能通过移动设备和广告诱饵访问,这是一种旨在规避自动检测系统的策略,并指出该网络由608个欺诈网站组成,该活动跨越了几波短波。
复杂活动的一个值得注意的方面是,它专门针对通过Facebook上的广告诱饵访问诈骗网站的移动用户,其中一些依赖于限时折扣来吸引用户点击它们。Recorded Future表示,一天内提供多达100个与单个诈骗网站相关的元广告。
伪造网站和广告被发现主要冒充一个主要的在线电子商务平台和电动工具制造商,以及用各种知名品牌产品的虚假销售报价挑出受害者。另一个关键的分发机制是使用Facebook上的虚假用户评论来吸引潜在的受害者。
Recorded Future指出,与诈骗网站关联的商家帐户和相关域名在中国注册,这表明开展此活动的威胁行为者可能建立了他们用于管理中国诈骗商家帐户的业务。
这不是第一次出现犯罪电子商务网络,旨在收集信用卡信息并从假订单中赚取非法利润。2024年5月,一个由75,000家假在线商店组成的庞大网络——被称为BogusBazaar——被发现通过知名品牌以低价宣传鞋子和服装,赚了超过5000万美元。
然后上个月,Orange Cyberdefense透露了一个以前无证的流量引导系统(TDS),名为R0bl0ch0n TDS,用于通过假商店和抽奖调查网站网络促进联盟营销诈骗,目的是获取信用卡信息。
安全研究员Simon Vernin说,几个不同的矢量用于初始传播通过R0bl0ch0n TDS重定向的URL,这表明这些活动可能由不同的附属机构进行。
这一发展是在搜索引擎上搜索谷歌身份验证器时显示的虚假谷歌广告被观察到将用户重定向到一个流氓网站(“chromeweb-authenticators[.]com”),该网站提供托管在GitHub上的Windows可执行文件,最终删除了一个名为DeerStealer的信息窃取者。
Malwarebytes称,这些广告看起来合法的是,它们看起来像来自“google.com”,广告商的身份由谷歌验证,Malwarebytes表示“一些未知的人能够冒充谷歌,并成功推送伪装成品牌谷歌产品的恶意软件。”
恶意广告活动还被发现传播其他各种恶意软件家族,如SocGholish(又名FakeUpdates)、MadMxShell和WorkersDevBackdoor,Malwarebytes发现了后两者之间的基础设施重叠,这表明它们可能由相同的威胁行为者运行。
除此之外,愤怒的IP扫描仪的广告被用来引诱用户伪造网站,电子邮件地址“goodgoo1ge@protonmail[.]com”已被用于注册提供MadMxShell和WorkersDevBackdoor的域名。
安全研究员Jerome Segura表示,两个恶意软件有效载荷都能够收集和窃取敏感数据,并为参与勒索软件部署的初始访问代理提供直接进入路径。
暂无评论内容