Investigadores de ciberseguridad han descubierto detalles de una estafa dirigida a usuarios de todo Oriente Medio y África del Norte utilizando una variedad de cuentas fraudulentas de Facebook que se hacen pasar por políticos, celebridades y organizaciones de confianza.
«Estas cuentas promovían ofertas falsas como paquetes gratuitos de Internet móvil, compensaciones financieras y programas de subsidios gubernamentales», dijeron los analistas de Group-IB Anna Yurtayeva y Vyacheslav Shevchenko.
«Se animaba a las víctimas a hacer clic en enlaces integrados para reclamar los beneficios anunciados, pero en lugar de ello eran redirigidas a través de una serie de sitios web intermediarios, lo que en última instancia conducía a una infraestructura de phishing y monetización del tráfico».
La firma de ciberseguridad con sede en Singapur está llevando a cabo estas campañas contra Sniper Dz, una plataforma llave en mano de phishing como servicio (PhaaS) que fue desmantelada el mes pasado en una operación dirigida por Interpol. Nuestros hallazgos muestran que la plataforma no solo facilita el robo de credenciales, sino que también genera ingresos ilícitos a través del abuso de notificaciones del navegador, suscripciones premium de SMS, llamadas con tarifas premium y fraude de inversiones.
El “embudo típico de víctima de estafa de Sniper Dz” comienza con un señuelo de ingeniería social localizado. Los estafadores se hacen pasar por proveedores de comunicaciones conocidos como Algérie Télécom, promueven ofertas falsas y dirigen a los usuarios a dominios alojados en Link, un servicio de biografía que actúa como intermediario entre las publicaciones en las redes sociales y el destino final.
«En lugar de dirigir a las víctimas a sitios web maliciosos, esta campaña primero dirige a los usuarios a través de plataformas confiables de agregación de enlaces como Linkbio y Linktree», dijeron los investigadores de Group-IB. «Los atacantes crean páginas de destino señuelo en dominios operados por estos servicios».
El ataque finaliza solicitando al usuario que haga clic en «Permitir» para continuar y dirigiendo a la víctima a una página que obtiene permisos de notificación del navegador. Detrás de escena, el código incrustado en la página web utiliza la clave pública de identificación voluntaria del servidor de aplicaciones (VAPID) para registrar el navegador web con el sistema de notificaciones push.
Group-IB dijo que se han visto las mismas claves VAPID en campañas que se hacen pasar por proveedores de telecomunicaciones argelinos y en estafas relacionadas con inversiones dirigidas a usuarios en múltiples regiones.
«La clave pública VAPID se utiliza para identificar el servicio de notificación responsable de entregar mensajes push, por lo que su reutilización puede proporcionar información valiosa sobre las relaciones de infraestructura subyacentes», dijo la compañía. «La aparición constante de la misma clave en campañas independientes sugiere que los operadores dependen de un ecosistema compartido de notificaciones push en lugar de una infraestructura independiente».
Además, la página secuestra el botón Atrás inyectando 10 estados históricos falsos para engañar a los usuarios para que visiten sitios que pueden publicar anuncios no solicitados, atrapándolos en «prisiones del botón Atrás» o contenido controlado por atacantes para inflar las impresiones de anuncios, facilitar el fraude o publicar contenido malicioso.
«Esta página también implementa tecnología de pestaña debajo que se activa cuando los usuarios interactúan con ciertos enlaces», señaló la firma de ciberseguridad. Cuando un enlace abre una nueva pestaña del navegador, un script de retraso redirige silenciosamente la pestaña original a otro destino controlado por el operador.
«Esto permite que las campañas continúen generando tráfico a través de su infraestructura de redireccionamiento y monetización incluso después de que las víctimas crean que han abandonado el sitio. Al combinar el abuso de notificaciones del navegador con la manipulación del historial y los redireccionamientos con pestañas, los operadores hacen que sea mucho más difícil para los usuarios escapar del ecosistema de fraude».
Una vez que un usuario se registra en la infraestructura de notificación, el ataque pasa a la fase de monetización, que dirige a la víctima a un sistema de distribución de tráfico (TDS) que determina qué estafas presentar en función de factores como el tipo de dispositivo, la ubicación y el operador. Las posibles rutas incluyen estafas telefónicas de alto valor, estafas de suscripciones premium de SMS y estafas de inversión.
«Esta campaña muestra que el fraude moderno se basa cada vez más en la explotación de tecnologías web legítimas en lugar del malware tradicional», afirmó Group-IB. «En lugar de infectar dispositivos, los operadores explotan plataformas confiables, funciones de navegador y técnicas de ingeniería social para atraer a las víctimas a través de embudos de monetización cuidadosamente diseñados».
Source link
