作者:威脅情報團隊
譯者:知道創宇404實驗室翻譯組
原文鏈接:https://www.malwarebytes.com/blog/threat-intelligence/2022/09/microsoft-edges-news-feed-pushes-tech-support-scam

雖然谷歌Chrome仍然是頂級瀏覽器,但越來越多的用戶開始使用基于Chrome源代碼的Microsoft Edge。也許更重要的是,它是Microsoft Windows平臺上的默認瀏覽器,因此,欺詐者對其用戶群的某些部分特別感興趣。

我們在Microsoft Edge新聞源上跟蹤并觀察到惡意廣告活動,用于將受害者重定向到技術支持詐騙頁面。該方案很簡單,依靠黑客在Edge主頁上插入他們的廣告,并試圖用令人震驚或離奇的故事來吸引用戶。

在這篇博文中,我們提高了人們的意識,并揭露了這個已經持續了至少兩個月的騙局行動。

概述

Microsoft Edge新聞源是在新聞內容、流量更新和廣告之間交替出現的縮略圖集合。我們發現了幾個惡意廣告,并將不知情的用戶重定向到技術支持詐騙。

重定向流程總結如下圖:

img

技術細節

當用戶點擊其中一個惡意廣告時,會通過API(api.taboola.com)向Taboola廣告網絡發出請求,以接受對廣告橫幅的點擊。服務器將響應下一個要加載的URL,格式如下:

document.location.replace('https:\/\/[scammer domain]\/{..}\/?utm_source=taboola&utm_medium=referral

對其中一個惡意域的第一個請求會檢索Base64編碼的JavaScript,其目標是檢查當前訪問者并確定他們是否是潛在目標。

img

該腳本的原始版本可以在這里找到,而美化版本可以在這里找到。

此腳本的目標是僅顯示對潛在受害者的惡意重定向,忽略不感興趣的機器人、VPN和地理位置,顯示與廣告相關的無害頁面。

該計劃旨在利用偽造的瀏覽器鎖定頁面欺騙無辜用戶,這些是技術支持詐騙者非常熟悉的。值得注意的是,這里利用了云基礎設施,使其很難被阻止。

img

這些是ondigitalocean.app上不斷變化的子域;在24小時內,我們收集了200多個不同的主機名。

基礎設施

Edge News Feed 上顯示的廣告與以下域鏈接(此列表并不詳盡):

1.feedsonbudget[.]com
2.financialtrending[.]com
3.foddylearn[.]com
4.glamorousfeeds[.]com
5.globalnews[.]cloud
6.hardwarecloseout[.]com
7.humaantouch[.]com
8.mainlytrendy[.]com
9.manbrandsonline[.]com
10.polussuo[.]com
11.newsagent[.]quest
12.newsforward[.]quest
13.puppyandcats[.]online
14.thespeedoflite[.]com
15.tissatweb[.]us
16.trendingonfeed[.]com
17.viralonspot[.]com
18.weeklylive[.]info
19.everyavenuetravel[.]site

其中一個域tissatweb[.]us也被公開報道為托管瀏覽器儲物柜,它包含了有趣的whois數據:

Registrant Email: sumitkalra1683@gmail[.]com

該電子郵件地址與以下附加域相關聯:

1.tissat[.]us
2.mvpconsultant[.]us
3.aksconsulting[.]us
4.furnitureshopone[.]us
5.minielectronic[.]in
6.antivirusphonenumber[.]org
7.quickbooktechnicalsupport[.]org
8.printertechnicahelp[.]com
9.comsecurityessentials[.]support
10.decfurnish[.]com
11.netsecurity-essential[.]com
12.mamsolutions[.]us
13.mamsolution[.]us
14.a-techsolutions[.]us

該電子郵件地址屬于名為Sumit Kalra的個人 ,他被列為Mws軟件服務私人有限公司的董事,該公司位于德里,其主要業務活動是“計算機和相關活動”。

保護

就遙測噪聲而言,這一特殊活動是目前我們看到的最大的活動之一。

img

避免檢測的指紋識別很有趣,而且比平時更復雜。我們將繼續揭露和報告用于詐騙的濫用基礎設施。

由于我們的Browser Guard擴展,Malwarebytes用戶已經受到保護,免受這種技術支持騙局的侵害。

Paper 本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.bjnorthway.com/1971/