Шеми на Sniper Dz ги таргетираат корисниците во MENA преку лажни Facebook понуди и известувања во прелистувачот

Кибер-безбедносни истражувачи открија детали за измамнички активности насочени кон корисници низ Блискиот Исток и Северна Африка (MENA), при што се користеле лажни профили на Facebook што имитираат политичари, јавни личности и доверливи организации.

„Овие профили промовираа лажни понуди, вклучувајќи бесплатни пакети за мобилен интернет, финансиски надоместоци и програми за државни субвенции“, изјавија аналитичарите од Group-IB, Anna Yurtaeva и Viacheslav Shevchenko.

„Жртвите беа поттикнувани да кликнат на вградени линкови за да ги добијат понудените бенефиции, но наместо тоа беа пренасочувани низ ланец од посреднички веб-страници што на крај водеше до фишинг инфраструктура и монетизација на сообраќај.“

Сингапурската компанија за сајбер-безбедност ги поврзува овие кампањи со Sniper Dz, платформа за фишинг како услуга (PhaaS), која беше демонтирана минатиот месец во операција предводена од INTERPOL.

Како функционирала измамата

Наодите покажуваат дека платформата не се користела само за кражба на лозинки, туку и за генерирање нелегален приход преку:

• злоупотреба на известувања во прелистувачот,
• премиум SMS претплати,
• скапи телефонски повици,
• и инвестициони измами.

Типичниот „фишинг-јаз“ на Sniper Dz започнувал со локализирани измамнички пораки, каде криминалците се претставувале како познати телекомуникациски компании, како Algérie Télécom, со цел да промовираат лажни понуди.

Ланец на пренасочување

Наместо директно да ги испраќаат жртвите на злонамерни веб-страници, напаѓачите прво ги пренасочувале преку доверливи сервиси за споделување линкови како Linkbio и Linktree.

„Напаѓачите создавале лажни страници на домени хостирани на овие сервиси“, наведуваат истражувачите од Group-IB.

Завршна фаза на нападот

Нападот завршувал со страница што ги измамувала корисниците да дозволат browser notifications, преку порака да кликнат „Allow“ за да продолжат.

Во заднина, кодот вграден во страницата го поврзувал прелистувачот со систем за push нотификации користејќи VAPID (Voluntary Application Server Identification) јавен клуч, со што корисникот се претплатувал на злонамерни известувања без да биде свесен за тоа.

Group-IB соопшти дека истиот VAPID клуч е забележан во повеќе кампањи што се претставуваат како телекомуникациски провајдери во Алжир, како и во инвестициони измами насочени кон корисници во различни региони.

„Бидејќи VAPID јавните клучеви се користат за идентификација на сервисот за нотификации кој ги испраќа push пораките, нивната повторна употреба може да даде важни индиции за поврзаноста на инфраструктурата“, соопшти компанијата. „Конзистентното појавување на истиот клуч во различни, инаку одвоени кампањи, сугерира дека операторите користат заеднички екосистем за push-нотификации наместо независни системи.“

Понатаму, страницата користи техника на „back button hijacking“ со вметнување 10 лажни history состојби, со што ги измамува корисниците и ги насочува кон страници што може да прикажуваат несакани реклами или да ги заробат во т.н. „back-button prison“, каде остануваат во контролиран ланец од содржини за зголемување на рекламни импресии, промоција на измами или доставување злонамерна содржина.

Истата страница користи и „tab-under“ техника која се активира кога корисникот кликнува на одредени линкови. Ако линкот отвори нов таб, одложен скрипт тивко го пренасочува оригиналниот таб кон друга дестинација контролирана од операторите.

„Ова овозможува кампањата да продолжи да генерира сообраќај преку својата инфраструктура за пренасочување и монетизација дури и кога жртвата мисли дека веќе ја напуштила страницата“, наведуваат истражувачите. „Со комбинирање на злоупотреба на нотификации во прелистувачот, манипулација со историја и tab-under пренасочувања, операторите значително им го отежнуваат на корисниците излегувањето од измамничкиот екосистем.“

Откако корисниците ќе бидат „претплатени“ на системот за нотификации, нападите преминуваат во фаза на монетизација, каде жртвите се насочуваат кон систем за дистрибуција на сообраќај (TDS), кој одлучува која измама ќе им биде прикажана врз основа на фактори како тип на уред, локација и мобилен оператор.

Можни сценарија вклучуваат измами со скапи телефонски повици, лажни премиум SMS претплати и инвестициони измами.

Истражувачите од Group-IB нагласуваат дека оваа кампања покажува како современите измами сè повеќе се потпираат на злоупотреба на легитимни веб-технологии, наместо на класичен малвер.

„Наместо да инфицираат уреди, операторите злоупотребуваат доверливи платформи, функции на прелистувачите и техники на социјален инженеринг за да ги водат жртвите низ внимателно дизајниран процес на монетизација“, соопшти компанијата.

Извори:

• The Hacker News – Sniper Dz Scams Target MENA Users via Fake Facebook Offers and Browser Alerts The Hacker News