[更新2018-06-22]:观察到新的URI模式(可能已经好几天了)。
(更新2018-05-17)购物者停止是一家总部位于印度的合法公司,他们的品牌被骗子滥用。
这些天来,有很多浏览器储物柜活动是由恶意广告或重定向从黑客网站。但购物者阻止技术诈骗活动实际上是两者兼而有,利用被入侵的网站注入广告代码,将用户重定向到其他威胁,包括通过恶意广告的技术支持诈骗。
我们相信这些广告注入来自盗版CMS主题。通常情况下,这些是人们需要付费下载的WordPress主题。相反,它们是免费提供的,附带一个恶意代码包。
我们注意到,作为重定向机制的一部分,在线购物门户注册到具有可疑顶级域名的域,例如.trade那。圆润那.ML.这种情况很快就会发生变化,使得列入黑名单的做法成为徒劳。然而,使用相同的工件,我们能够标记其他浏览器储物柜事件为这个特定的活动。
的browlock
在此广告系列中使用的浏览器储物柜是谷歌Chrome Safebrowe警告的旋转。诈骗者向其中添加了恐慌策略(例如硬盘安全删除开始时间:5:00分钟),以及防止用户关闭浏览器选项卡或窗口的身份验证弹出窗口。
在这个模板中,骗子没有打扰改变IP地址(据说他们的受害者),这仍然属于该页面的原始创建者,位于印度某处。免费电话号码,在页面和URL上动态填充,是诈骗者希望潜在的受害者拨打的内容。
交通
如前所述,对这些浏览器储物柜页面的交通数量向往广告 - 更精确,更为恶意。肇事者可以花费小预算,并通过许多广告网络之一吸引相当多的访问。越来越多,我们看到广告平台确保访问者是合法的,而不是使用匿名代理的机器人或其他人。
在某些情况下,通过使用交通分配系统(TDS),这种“引线漏斗”会增加一倍。这里有一个例子,我们通过良好的记录BlackTDS,将用户重定向到AD网络,最终到达browlock。
BlackTDS是许多浏览器储物柜的来源,也被其他研究人员发现。例如,在3月29日,维塔利Kremez报道眉头锁定的感染链开始SmartTraffics [。] ml.
同样的威胁的另一个例子被发现是一个正在进行的活动的一部分,被入侵的网站注入了广告网络代码。从去年年底开始就有网站所有者的报告,但最近这种趋势有所增加。
丹尼斯Sinegubko从Sucuri指出具有相同ID的广告脚本被注入超过2,000个网站,并提出了使用广告用于货币化的网站管理员的结论,而是不需要的广告注入其CMS。使用源代码搜索引擎PublicWWW,我们发现成千上万的网站有相同的广告代码:
几个星期以来,我们已经复制了无数的感染链,利用套件,棕色,和其他的骗局,通过这些注射广告。
//go.oclaserver[.]com/apu.php?zoneid=removed //go.mobtrks[]com/notice.php?p=removed&interstitial=1 //go.mobisla[.]com/notice.php?p =删除和交互= 1&pushup = 1 //defpush[.]com/ntfc.php?p=removed
服务器端PHP代码(WP-VCD恶意软件)用于加载这些广告,可以在下面看到。感谢Sucuri的朋友分享它。
sucuri'sSiteCheck检测这些服务器端注入rogueads.unwanted_ads..导致这些注射的主要原因是无效主题,即付费CMS主题的盗版。免费午餐通常带有后门,没有未来的更新,当然还违反了许可和版权法。
在以下交通捕获(谢谢大佩尔韦兹•),我们注意到AD注入导致了一个恶意重定向链,其顺序如下:
- dreams-al。com(妥协网站)
- oclasrv。com(Propellerads广告网络)
- deloton [。] com(Propellerads广告网络)
- xml.adhunter。媒体(XML提要)
- updating23001.accountant(购物者停止重定向器)
- techno59033.download(Browlock)
- updating23001.accountant(购物者停止重定向器)
- xml.adhunter。媒体(XML提要)
- deloton [。] com(Propellerads广告网络)
- oclasrv。com(Propellerads广告网络)
我们观察到来自许多注入广告代码片段的站点的模式(或类似模式)。
重定向器
重定向页面充当到浏览器储物柜的网关。从表面上看,它是一家名为“购物者站”(Shoppers Stop)的网上购物商店,为男性和女性提供商品。购物者停下来也是印度一家知名连锁百货公司的名字,在全国有超过83家分店。我们相信骗子可能已经使用这个名字建立了一个虚假的网上商店或演示(许多骗子也进入网站设计)。
https://更新23001 [。]会计/男士商店
这个域名本身就是goshopper的克隆[。]的信息,该信息是在2017年10月27日通过隐私保护注册的,现在停在:
然而,在这些恶意重定向中,在线购物站点纯粹用作重定向机制,这样做的受害者实际上不会看到任何内容。重定向是通过301重定向完成的,也被称为永久重定向,通常用于SEO目的的网站所有者已经把他们的财产转移到另一个(永久)位置。
位置:https:// techno59033 [。]下载/ tollfree1-877-670-2749
对联系页面提供的地址进行搜索,我们就得到了一个名为。com的域名e-storekart。com创建于2017年11月7日。虽然它似乎没有什么特别之处(它是另一个克隆),它域名查询服务信息提供了比我们之前编目的其他域更多的信息更多信息。
e-storekart
这个域名是少数少数人的购物者停止模板之一,没有完全匿名域名查询服务.查询字符串bhushan,我们确定了多个其他域范围范围从支持站点的打印机,帮助电子邮件,网页设计,时尚等。许多域名不再存在或已经停放过。
但即使是非活动域也可以提供一些有价值的信息。例如,我们检索了一个存档的副本antivirustechies(。)这表明它曾经是几种不同的防病毒软件产品的“合法”技术支持页面。
但是,这家公司的合法性很快被淘汰了几次搜索其电话号码。它与许多人有关投诉报告表明人们用通常的恐慌策略(假Microsoft支持)呼叫冷酷:
另一个证据是浏览器锁模板,在托管的页面上有确切的电话号码PalmReader [。]网址/ 1-800-245-9970 /.如果您还记得,本文开头描述的浏览器储物柜与此非常相似。URL的路径中包含电话号码,假的Safebrowsing模板也类似。
该域名的注册日期可以追溯到2017年8月底。这里还使用了其他几个电话号码,并在URI路径中硬编码,而不是通过API动态生成。
要总结,使用购物者停止模板去年后的相同诈骗者组已经注册了技术支持域(antivirustechies(。))和一个与“购物者停止”活动中使用的浏览器储物柜类型相同的电话号码。
虽然基于可能从别人那里窃取的材料链接威胁可能是棘手的,但这些信息也有助于发现与欺诈活动相关的其他web属性的有趣连接。
这个技术支持骗局是我们跟踪的最高运动之一(落后于.tk和.club运动)。它从另一个恶意链顶部注入广告的大量站点都是从大量网站获得的交通导向。
必威平台APP通过域块,用户受到保护免受这种威胁的影响oclasrv。com和deloton [。] com.我们还报告了我们能够收集到的广告id到PropellerAds,以及恶意重定向域/褐发到CloudFlare。
妥协的指标
107.180.28 [] 42
176年107.180.54(。)
可以找到用于浏览器储物柜的域列表在这里.
评论