据BleepingComputer报道,同志APPSniffies近期被黑灰产品盯上。他们通过推广各种骗局和不安全的GoogleChrome扩展域来引诱用户。在某些情况下,这些非法域启动了AppleMusic应用程序,促使用户购买订阅,从而为攻击者赚取佣金。Sniffies是一款现代的2018年基于地图的聚会应用程序,适用于同性恋、双性恋和好奇的用户。该APP的核心特点是创建了一个丰富的用户界面,可以在地图上显示附件,极大地方便了人们寻找其他人,并迅速成为流行工具,这也引起了攻击者的注意。Sniffies被用于黑灰生产一段时间以来,安全研究人员观察到针对Sniffies网站和应用程序的黑灰生产活动十分猖獗。白帽黑客KodyKinzie表示,他发现了至少50个被攻击者伪造的域名,其中大部分是Sniffies品牌名称的拼写变体。攻击者创建这些假域名来引诱不仔细区分Sniffies网站的用户。一旦用户登录并访问这些假冒域名,很可能会执行如下操作:诱骗用户安装可疑的Chrome扩展程序;通过网络浏览器在Apple设备上启动“音乐”应用程序;诱骗用户访问虚假的技术“支持”诈骗网站;诱骗用户访问虚假的求职网站。例如,当用户访问假域名时,AppleMusic的原生App会被自动唤醒,提示用户按月付费,这会给黑灰产品带来不菲的会员佣金。Sniffies的钓鱼域名试图启动AppleMusic的原生应用程序。此外,还有不安全的GoogleChrome扩展程序。用户访问后,网站会推荐安装“AdBlockMax-RemoveIntrusiveAds”和“MovieDatabase”,但实际上这个类扩展的最终目的是将用户重定向到欺诈网站。虚假的Chrome扩展有趣的是,白帽黑客在AdBlockMax中发现了一些广告拦截代码,但依靠这些代码来防御“侵入式广告”是徒劳的。讽刺”。此外,相当多的扩展可能带有不需要的功能,如跟踪等。不只是嗅探器。事实上,类似的黑灰生产活动并不是第一次出现。反而这成了攻击者常用的手段,大量注册知名品牌的相关域名,以此来引诱那些粗心的用户。例如,VirginAtlantic的用户可能暂时无法识别virginatlantc.com这个域名,他们的行为与Sniffies活动中的欺诈行为非常相似,只是针对Sniffies.com用户的域名数量是更大。Kinzie使用开源工具DNSTwist为Sniffies.com被动生成排列。在该工具生成的3,531个域名中,有51个以Web应用程序命名的有效域,请注意虽然这些域托管在随机平台上,但许多注册在同一MX服务器上。虽然谷歌浏览器会针对这些不安全的域名弹出安全警告,提醒用户注意安全,但在实际过程中,仍有不少Sniffies假冒域名没有被警告。近年来,此类假冒网站呈现出越来越多的趋势,其仿真程度越来越逼真,用户难以辨别真假。参考来源:https://www.bleepingcomputer.com/news/security/gay-hookup-site-typosquatted-by-50-domains-to-push-dodgy-chrome-extensions/
