技术支持诈骗者众所周知,以与捍卫者的姓氏的比赛。案例分段,上个月有报道骗子的报道入侵Microsoft Azure Cloud Services托管假警告页面,也称为浏览器储物柜。在此博客中,我们看一下负责将流量驾驶到那些托管的Scareware页面的最重要的广告系列之一。
我们发现诈骗者一直在购买主要互联网门户网站上的广告,以瞄准较老的人口。实际上,他们正在使用付费搜索结果来推动流量向诱饵博客将受害者重定向到BrowLock页面。
该计划实际上已经持续了几个月,最近已经加剧了,所有的同时保持同样的运作方式。虽然没有过于复杂,但它背后的威胁演员已经能够滥用主要广告平台和托管提供商几个月。
利用付费搜索结果
技术支持诈骗通常通过恶意活动分发。廉价的成人交通通常是许多诈骗者组的名单。它不仅具有成本效益,而且还扮演了相信他们在访问狡猾的网站后感染的用户的心理学。
其他时候,我们看到诈骗者通过试图冒充它们来积极地瞄准品牌。这个想法是在寻求使用特定产品或服务的受害者中卷起。然而,在这个特殊的运动中,骗子是针对仔细教徒食谱的人。
搜索引擎结果页面(SERP)有两种类型的结果:
- 有机搜索结果与用户的搜索查询匹配基于相关性。最顶层列出的网站通常是具有最佳搜索引擎优化(SEO)的网站。
- 付费搜索结果,基本上是与用户查询相关的广告。他们需要一定的预算,并非所有关键字的成本相等。
由于付费搜索结果通常显示在顶部(通常会与有机搜索结果混合),因此它们倾向于生成更多点击。
我们在几个不同的网络门户网站上搜索了各种食谱(Centurylink,Att.net,Yahoo!搜索和Xfinity),并且能够轻松找到诈骗者购买的广告。
我们没有关于多少人点击这些广告的确切指标,但我们可以推断出根据两个指标提高了大量的流量:第一个是我们自己的遥测,其中一个来自的遥控器网站:
虽然这些广告看起来很典型,但实际上匹配我们的关键字搜索很好,但它们实际上重定向到具有恶意意图创建的网站。
诱饵网站
为了支持他们的计划,诈骗者创造了许多与食物有关的博客。内容似乎是真实的,甚至对许多文章甚至有一些评论。
但是,在仔细检查后,我们可以看到这些网站基本上从提供了付费或免费HTML模板的各种Web开发人员网站上采取内容。“<! - 镜像来自......”是留下的文物httrack.网站复印机工具。顺便提及,这种镜像是我们往往存在于从其他网站复制的浏览器储物柜页面时见证的东西。
在我们的测试期间,直接访问这些网站并没有创造任何恶意重定向,它们似乎绝对是良性的。只有间接证据,没有所谓的吸烟枪,案件才刚才。
完全感染链
在一些试验和错误包括交换各种用户代理字符串并使用商业VPN避免时,我们最终能够从原始广告到浏览器储物柜页面重播完整的感染链。
博客的URL实际上是连续三次调用的,最后一个将最终条件重定向到BowLock执行POST请求。在下面的屏幕截图中,您可以看到正确的隐形(没有恶意行为)和重定向到BrowLock页面之间的差异:
眉头页面
假警告页面是相当标准的。它检查浏览器和操作系统类型,以便向Windows和Mac OS受害者显示相应的模板。
诈骗者通常通过附加到随机字符串的数字迭代数字来注册Azure的整个主机名范围。虽然许多这些页面都被快速下来,但是,新的页面是不断弹出的,以便保持活动运行。以下是我们观察到的一些URI模式:
10服务器[。] AzureWebsites [。] Net / Call-Now1 /
2securityXew-561Error [。] AzureWebsites [。] Net / Call-Now1 /
10serverloadingfailed-hgdfc777error [。] azurewebsites [。] net / chx /
11iohhwefuown [。] AzureWebsites [。]净/呼叫支持1 /
11serversecurityjunkfile-65Error [。] AzureWebsites [。]净/呼叫 - Mac-Support /
2serverdatacrash-de-12 error [。] azurewebsites [。] net / macx /
2systemservertemporaryblockghjj-510Error [。] AzureWebsites [。] Net / Mac-Support /
我们认为,除了现有用户过滤之外,骗局还可以旋转执行重定向的诱饵站点,以便从安全扫描仪逃避检测。
寻找肇事者
我们不会直接与诈骗者互动,但这一调查的一部分是关于找到谁在这个运动背后,以便采取行动和备受更多的受害者。
继续欺骗,流氓技术人员欺骗了我们的计算机状态,并弥补了虚构的威胁。目标是销售昂贵的支持包,实际增加了很少的价值。
销售这些服务的公司是A2Z Cleaner Pro(AKA Coretel Communications),并于2018年8月在A中由一名受害者确定博客评论在FTC的网站上。
他们的WebSte于198.57.219.8举办,我们找到了另外两种有趣的伪影。第一个是名为Coretel的公司,该公司也被诈骗者用作一种商业实体。它似乎是从几年内预先存在的另一个域中的rip,并且还在同一IP Address上托管:
然后,有两个新的配方站点在6月份注册,与以前的配方,他们还使用从其他地方复制的内容:
减轻和取消
必威平台APPMalwarebytes的浏览器扩展已经启发式屏蔽了各种Browlock页面。
我们立即向谷歌和微软(Bing)报告了欺诈性的广告,以及向Godaddy的诱饵博客。他们的大部分域已经被删除了,他们的广告活动被禁止了。
这款技术支持诈骗运动通过许多互联网服务提供商使用的在线门户网站,通过使用食品配方的付费搜索结果,巧妙地针对人口较旧的人口。
毫无疑问,诈骗者将继续滥用广告平台和托管提供商来开展业务。然而,抛弃的行业合作可以让他们退回并拯救成千上万的受害者被欺骗。
妥协指标
诱饵博客
Alhotcake [。] com
bestrecipesus [。] com
Cheforrecipes [。] com
Chilly-compesfood [。] com
cookhellrecipes [。] com
dezirerecipes [。] com
intanplusrecipes [。] com
winteRecipiesforu.com.
handmaderecipies [。] com
homecookedrecipe [。] com
hotandsweetrecipe [。] com
刚刚 - 新鲜曲折[。] com
午餐 - repesstore [。] com
mexirecipes [。] com
neelamrecipes [。] com
nidhikitchenrecipes [。] com
OrganferRecipesandFood [。] Com
competes4store [。] com
收件人[。] com
Royalwarerecipes [。] com
烟虫[。] com
specialsweetrecipes [。] com
Starcooking [。]俱乐部
Starrecipies [。] com
SweethomeMadeFoods [。] Com
titesty-compes [。] com
今天4Recipes [。] com
tophighrecipes [。] com
TopTipsknowledge [。] com
totalspicyrecipes [。] com
Vegfood-Recipes [。] Com
yammy-compes [。] com
handmaderecipies [。] com
homecookedrecipe [。] com
hotandsweetrecipe [。] com
刚刚 - 新鲜曲折[。] com
午餐 - repesstore [。] com
mexirecipes [。] com
neelamrecipes [。] com
nidhikitchenrecipes [。] com
OrganferRecipesandFood [。] Com
competes4store [。] com
收件人[。] com
Royalwarerecipes [。] com
烟虫[。] com
specialsweetrecipes [。] com
Starcooking [。]俱乐部
Starrecipies [。] com
SweethomeMadeFoods [。] Com
titesty-compes [。] com
今天4Recipes [。] com
tophighrecipes [。] com
TopTipsknowledge [。] com
totalspicyrecipes [。] com
Vegfood-Recipes [。] Com
yammy-compes [。] com
healthalcookingidea [。] com
regaresstudios [。] com
a2zpcprotection [。] com
a2zcleanerpro [。] com
正则表达式匹配Azure上的Browlock Uris
^http(s|):\/\/(?!www)^.{2}[a-z]{2,7}\/([cC]all-([nN]ow|Support)1|chx|macx|(Call-)?[mM]ac-[sS]upport)
评论