威胁行为者已经注册了超过 42,000 个冒名顶替域名
总部位于中国的一个出于经济动机的团体正在利用与国际知名品牌相关的信任来策划一场可追溯到 2019 年的大规模网络钓鱼活动。
这个被 Cyjax 称为 Fangxiao 的威胁行为者据说已经注册了超过 42,000 个冒名顶替域名,最初的活动是在 2017 年观察到的。
“它针对多个垂直领域的企业,包括零售、银行、旅游和能源,”研究人员 Emily Dennison 和 Alana Witten 说。 “承诺的经济或物质奖励被用来诱骗受害者通过 WhatsApp 进一步传播该活动。”
向用户发送一条带有链接的消息,单击该链接后,他们将被定向到一个由攻击者控制的站点,该站点又将他们发送到一个冒充知名品牌的登陆域,受害者再次从那里进入被带到分发欺诈性应用程序和虚假奖励的网站。
这些网站提示访问者完成一项调查以领取现金奖励,作为交换,他们被要求将消息转发给五个小组或 20 个朋友。然而,最终的重定向取决于受害者的 IP 地址和浏览器的用户代理字符串。
研究人员表示,作为犯罪计划的一部分,包括阿联酋航空、Shopee、联合利华、Indomie、可口可乐、麦当劳和家乐在内的 400 多家组织正在被模仿。
另外,据观察,从 Android 设备点击诈骗移动广告的攻击最终导致部署了名为 Triada 的移动木马,最近发现该木马通过虚假的 WhatsApp 应用程序进行传播。
不仅仅是 Triada,该活动的另一个目标是 Google Play 商店列表中一款名为“App Booster Lite – RAM Booster”的应用程序,该应用程序的下载量已超过 1000 万。
该应用程序由捷克开发商 LocoMind 开发,被描述为“强大的手机助推器”、“智能垃圾清理器”和“有效的电池保护程序”。
该应用程序的评论指出发布商展示了太多广告,甚至指出他们“从其中一个‘你的安卓系统损坏 x%’广告到达这里 [Play 商店页面]。”
“我们的应用程序不能传播病毒,”LocoMind 在 2022 年 10 月 31 日回复评论。“我们的每项更新都由 Google Play 检查——他们早就会因为这个原因删除我们的应用程序。”
如果在运行 iOS 的设备上执行相同的操作,受害者将通过附属链接重定向到亚马逊,在接下来的 24 小时内,该电子商务平台上的每一次购买都会向行为者收取佣金。
威胁行为者与中国的联系源于与 aaPanel 相关的 Web 服务中存在普通话文本,aaPanel 是一个基于 Python 的开源控制面板,用于托管多个网站。
进一步分析 2021 年和 2022 年向调查域颁发的 TLS 证书表明,大部分注册与 UTC+08:00 时区重叠,该时区对应中国标准时间上午 9:00 至晚上 11:00
研究人员表示:“运营商在开展此类冒名顶替活动方面经验丰富,愿意积极实现其目标,并且在技术和后勤方面能够扩大规模以扩大业务。”
“Fangxiao 活动是有效的潜在客户生成方法,已被重定向到各个领域,从恶意软件到推荐链接,再到广告和广告软件。”