涉及技术支持诈骗的威胁演员在2020年11月到2021年2月2021年的浏览器储物柜活动是世界上最大的成人平台,包括Pornhub。

这个组织已经活跃了很长一段时间,我们相信这与我们之前发现的骗局有关,使它成为迄今为止最多产的技术支持诈骗活动之一。

在1月下旬,我们听到了一些关于微软虚假警报的投诉,并开始调查它们。我们在TrafficJunky上发现了一些欺骗广告商使用的诱饵约会网站。TrafficJunky是MindGeek旗下的PornHub、RedTube和YouPorn等品牌的广告公司。

诈骗者创造了那些虚假的身份,将来自成人平台的流量重定向到显示伪装用户被感染色情间谍软件的伪造警报的页面。这项知名方案试图吓唬受害者呼吁所谓的技术人员寻求帮助,但事实上欺骗了数百美元。

我们向思想报告了思想,并继续追踪并分享新事件。我们认为,这种威胁演员将继续欺骗新的受害者,直至完全暴露和执法所逮捕的个人。

重定向链

我们能够多次捕获恶意重定向链,流量几乎相同。我们从我们的遥测中了解,恶意广告商是针对美国和美国的受害者。

  • 用户点击播放视频
  • 将打开一个新的浏览器窗口
  • 请求发送到Trafficjunky AD平台
  • 一个广告被提供,并向一个诱饵约会网站提出请求
  • 重定向立即加载浏览器储物柜

这一系列的事件可以总结在下面的流量捕获中:

这种恶意链的一个关键部分是使用许多不同的假约赛门户,这些门户正在隐藏浏览器储物柜的重定向机制。

开端

这个浏览器储物柜活动在出现在PornHub之前就已经开始了[。很长一段时间都没被发现,这可能是因为一个巧妙的拼写技巧。事实上,在看到事后显而易见的事情之前,我们已经被自己愚弄了一段时间。

2020年5月21日,威胁行为方注册了该域名sassysenssations。com其中包含自愿拼写错误(两个'),以模仿姿势[。]属于合法企业的COM。

真实的域在2014年注册,我们甚至发现了一个广告牌广告推特了在2019年4月26日,早在诈骗者注册他们的山寨域名之前。

什么是聪明的是,威胁演员似乎没有为该假冒域设置一个实际网站,而是如果访问者与来自他们的恶意运动的参数与参数不匹配,则将所有流量重定向到真实的域。

然而,恶意广告链显示,他们利用该域执行条件重定向,如下图所示:

(1) pornhub [] com/_xa/ads吗?zone_id =[删除](2)ads.trafficjunky [] net/click ? url = https%3A%2F%2Fsassysenssations[。com % (3) sassysenssations [] com/track.php吗?CampaignID =[删除]&Sitename = Pornhub (4) errorhelpline24x7msofficialsoftwareerrorcodex12。怪物

后来,似乎威胁者开始多样化他们的计划通过创建一些虚假的约会网站作为重定向除了使用无礼的感觉身份。

假的交友网站

恶意广告客户使用的是一种以前尝试过的模式,包括设置假身份,以获得进入广告平台的权限。在这个例子中,我们对约会和浪漫网站进行了分类。然而,他们中的大多数看起来不真实或功能,甚至仍然有“Lorem ipsum”的文本填充。

如果您要直接访问其中一个网站,您可能看不到其他任何兴趣,至少没有任何恶意的性质。但是,欺诈性广告客户可以根据IP地理位置,参考和其他工件等因素轻松地重定向流量。

总而言之,我们检测到接近100名票据名称设置为“广告登陆页”,用于将受害者重定向到浏览器储物柜诈骗。即使模板是半成品,威胁演员正在花费时间创建一个大量库存,他们可以在他们的重定向到浏览器储物柜中循环。

浏览器储物柜

浏览器储物柜使用假Microsoft Windows Defender扫描仪的常见主题。有一些浏览器分析根据用户是否在Windows或Mac上提供正确的模板。

当浏览许多诱骗网站之一,我们发现HTML源代码在一个暴露目录显示了一些额外的浏览器储物柜的变化:

假广告基础设施

由于这是一个长期运行的活动,基础设施相当大,但倾向于重用相同的域命名约定。下图仅显示了为滥用TrafficJunky广告平台而创建的域名。它不包括用于browlock本身的域。

有一个域名(recipesonline365[.]com)的命名规则与其他交友网站不同。事实上,它是唯一一个非成人主题的。

(1)YouPorn [。] com / _xa /广告?zone_id = [删除](2)ads.trafficjunky [。] net / deep_click?adtype = pop&url = https%3a%2f%2frecipesonline365 [。] com(3)Compecteson365[] com /?aclid = [删除](4)oopi3.azurewebsites [。] net / winhelpxcode161616winhelpsecurity0nlinech007

回到2019年6月,我们有确定一个针对配方关键字的广告活动。威胁演员正在使用诱饵配方和食品网站通过网络搜索引诱受害者。这些网站的重定向机制与诱饵约会网站相同,而且大部分时间也导致座位上的眉头锁定。

该活动与成年人之间有许多其他相似之处,例如纳米柯座托管和大量诱饵位点的主要使用。出于这个原因,我们相信这可能是相同的威胁演员。

保护

浏览器储物柜并不危险进出自己。它们只是一个假的警告,可能会扰乱和烦人,而是一个并不表示计算机问题的警告。

近年来,他们变得非常普遍,并影响所有浏览器,甚至是移动的。过去,我们已经看到了有效地给予电影的浏览器储物柜由于它们如何滥用用户界面而被锁定。众所周知,大多数可以正常关闭,而无需使用特殊命令。

必威平台APP恶意软件字节的用户已经受到了保护。我们的浏览器警卫扩展可以使用不需要使用已知域名或IP地址的黑名单来检测和停止浏览器储物柜。

妥协指标

IOCs列表可以从我们的GitHub下载在这里