参与技术支持诈骗的威胁行为者从2020年11月到2021年2月一直在世界上最大的成人平台上,包括PornHub发起浏览器储物柜活动.这个活动背后的团伙已经活跃了很长时间,我们相信它与我们之前发现的一些骗局有关,使这个团伙成为迄今为止最多产的技术支持骗局之一。1月下旬,我们听到了几起关于假冒Microsoft警报的投诉,并开始对其进行调查。我们在TrafficJunky上发现了欺骗性广告商使用的一些欺骗性交友网站,TrafficJunky是MindGeek旗下的PornHub、RedTube和YouPorn等品牌的广告代理。诈骗者伪造这些虚假身份,将流量从成人平台重定向到显示虚假警报的页面,声称用户已感染色情间谍软件。这个著名的骗局试图恐吓受害者打电话给所谓的技术人员寻求帮助,但实际上却骗走了他们数百美元。我们向MindGeek报告了我们的发现,并继续跟踪和分享新的进展。我们相信,在被执法部门完全暴露和逮捕之前,这个威胁行为者将继续欺骗新的受害者。重定向链接我们发现了几个恶意广告重定向链,流程几乎相同。我们从遥测中知道,恶意广告商主要针对美国和英国的受害者:用户点击,视频开始播放一个新的浏览器窗口打开请求被发送到TrafficJunky广告平台以放置广告和一个诱饵约会网站的请求重定向立即加载浏览器储物柜可以在下面的流量捕获中总结这一系列事件:这个恶意广告链的一个关键部分是使用许多不同的虚假约会门户来隐藏浏览器储物柜的重定向机制。原因这个浏览器储物柜活动早在它出现在PornHub上之前就开始了,可能由于一个巧妙的排版技巧,它很长一段时间都没有被发现。后来证明,我们一直被愚弄了,因为竞选活动太明显了。2020年5月21日,威胁行为者注册了域名sassysensations.com,其中包含一个故意拼写错误(两个“'”)以模仿属于合法企业的sassysensations.com。其真实域名是2014年注册的,我们甚至还发现了该域名的路牌广告,该广告于2019年4月26日发布在推特上,远早于骗子注册的假域名。让威胁行为者变得棘手的是,他们似乎没有为假域名设置真实站点,而是在访问者与恶意广告活动的参数不匹配时将所有流量重定向到真实站点。然而,恶意广告链显示他们使用此域执行条件重定向,如下所示:(1)pornhub[.]com/_xa/ads?zone_id=[removed](2)ads.trafficjunky[.]net/click?url=https%3A%2F%2Fsassysenssations[.]com%(3)sassysenssations[.]com/track.php?CampaignID=[removed]&Sitename=Pornhub(4)errorhelpline24x7msofficialsoftwareerrorcodex12[.]monster后来除了使用之外对于sassysensations的身份,这个威胁演员还创建了一些虚假的约会网站作为重定向,从而使他们的计划多样化。假冒交友网站的恶意广告商使用了一种之前已经尝试过的模型,该模型涉及设置假身份以获取对广告平台的访问权限。在这种情况下,我们将交友网站和交友网站分为男性和女性。然而,它们中的大多数看起来并不真实或功能不全,甚至有“Loremipsum”文本填充符。如果直接访问这些站点,您可能看不到任何感兴趣的内容,但至少它们是无害的。然而,欺诈性广告商可以很容易地根据IP地址、推荐人和其他人为因素重定向流量。我们总共检测到将近100个诱饵域设置为“广告登陆页面”,用于将受害者重定向到浏览器储物柜诈骗。即使模板只完成了一半,威胁行为者仍在花费大量时间创建大量清单,他们可以循环浏览这些清单,同时将其重定向到浏览器锁。BrowserlockerBrowserlocke使用来自假冒的MicrosoftWindowsDefender扫描仪的通用主题,并且根据用户是Windows还是Mac,有提供正确模板的浏览器配置文件。在浏览众多诱饵站点之一时,我们在公共目录中发现了HTML源代码,其中显示了浏览器locke的一些其他变体:为域使用相同的名称。下图仅显示为滥用TrafficJunky广告平台而创建的域。它不包括用于browlock本身的域。其中有一个域名,recipesonline365[.]com,其命名约定与典型的约会网站不同。事实上,这是唯一一个以非成人内容为主题的网站。(1)youporn[.]com/_xa/ads?zone_id=[removed](2)ads.trafficjunky[.]net/deep_click?adtype=pop&url=https%3A%2F%2Frecipesonline365[.]com(3)recipesonline365[.]com/?aclid=[removed](4)oopi3.azurewebsites[.]net/Winhelpxcode161616winHelpSecurity0nlineCH007早在2019年6月,我们就发现了一个以食谱中的关键字为目标的活动。威胁行为者使用诱饵食谱和食品网站通过网络搜索引诱受害者。这些网站执行与诱饵交友网站相同的重定向机制,并且大多数时候还会导致托管在Azure上的browlock。此活动与成人活动之间还有许多其他相似之处,例如主要使用NameCheap托管和大量的拖钓网站。因此,我们认为这可能是同一个威胁者。ProtectiveBrowserlockers本身并不危险,它们只是一个错误的警告,可能会对我们造成一些干扰,但并不表示计算机有问题。近年来,它们变得非常普遍,并影响所有浏览器,甚至是移动浏览器。过去,浏览器储物柜给我们的印象是浏览器储物柜总是因为滥用用户界面而锁定机器。众所周知,它们中的大多数无需使用特殊命令即可正常关??闭。Malwarebyte用户已免受此活动的影响。我们的BrowserGuard扩展程序可以使用不需要持有已知域名或IP地址黑名单的启发式技术来检测和停止浏览器储物柜。妥协指标IOC列表可以从我们的GitHub(https://github.com/MBThreatIntel/TSS/blob/master/adult_malvertising.txt)下载。本文翻译自:https://blog.malwarebytes.com/cybercrime/2021/02/malvertising-campaign-on-top-adult-brands-exposes-users-to-tech-support-scams/
