Χρήστες του Facebook αποτελούν στόχο μιας κακόβουλης εκστρατείας που χρησιμοποιεί εκατοντάδες ψεύτικα Facebook Ads για να κλέψει πληροφορίες πιστωτικών καρτών.
Χρησιμοποιούν παραποίηση επωνυμίας και ψεύτικες διαφημιστικές στρατηγικές για να επιτύχουν τους στόχους τους.
Η ομάδα του Recorded Future’s Payment Fraud Intelligence αναγνώρισε αυτή την καμπάνια στις 17 Απριλίου 2024 και της έδωσε την ονομασία ERIAKOS, λόγω της χρήσης του ίδιου δικτύου διανομής περιεχομένου (CDN) oss.eriakos[.]com.
Διαβάστε ακόμη: Hacker χρησιμοποιούν ψεύτικα Facebook ads για διανομή malware
«Αυτά τα ψεύτικα sites ήταν προσβάσιμα αποκλειστικά μέσω κινητών συσκευών και διαφημιστικών δολωμάτων, μια τακτική που αποσκοπεί στην αποφυγή των αυτοματοποιημένων συστημάτων ανίχνευσης», ανέφερε η εταιρεία, σημειώνοντας ότι το δίκτυο περιλάμβανε 608 ψεύτικες ιστοσελίδες.
Ορισμένα από αυτά τα δολώματα των ψεύτικων Facebook Ads βασίζονται σε προσφορές, προκειμένου να δελεάσουν τους χρήστες να κάνουν κλικ. Σύμφωνα με την Recorded Future, έως και 100 διαφημίσεις της Meta που σχετίζονται με έναν ιστότοπο απάτης μπορεί να προβάλλονται σε μία ημέρα.
Τα ψεύτικα sites και τα Facebook Ads (διαφημίσεις) προσπαθούν κυρίως να μιμηθούν μια μεγάλη διαδικτυακή πλατφόρμα ηλεκτρονικού εμπορίου και έναν κατασκευαστή ηλεκτρικών εργαλείων, ενώ παράλληλα στοχεύουν θύματα με ψεύτικες προσφορές πωλήσεων για προϊόντα γνωστών μαρκών. Μία άλλη κρίσιμη τακτική που χρησιμοποιούν οι χάκερς περιλαμβάνει τη χρήση ψεύτικων κριτικών χρηστών στο Facebook για να προσελκύσουν πιθανά θύματα.
“Οι λογαριασμοί των εμπόρων και τα σχετικά domains που συνδέονται με ιστότοπους απάτης είναι εγγεγραμμένοι στην Κίνα. Αυτό υποδηλώνει ότι οι φορείς που συμμετέχουν σε αυτή την εκστρατεία πιθανόν έχουν συστήσει την επιχείρηση που χρησιμοποιούν για τη διαχείριση των λογαριασμών απάτης στη χώρα”, σημείωσε η Recorded Future.
Αυτή δεν είναι η πρώτη φορά που εγκληματικά δίκτυα ηλεκτρονικού εμπορίου εμφανίζονται με σκοπό τη συλλογή πληροφοριών πιστωτικών καρτών και την αποκόμιση παράνομων κερδών από ψεύτικες παραγγελίες. Τον Μάιο του 2024, αποκαλύφθηκε ένα εκτενές δίκτυο 75.000 ψεύτικων διαδικτυακών καταστημάτων, γνωστό ως BogusBazaar, το οποίο είχε αποφέρει πάνω από 50 εκατομμύρια δολάρια από τη διαφήμιση επώνυμων παπουτσιών και ρούχων σε εξαιρετικά χαμηλές τιμές.
Δείτε περισσότερα: Google ads: Κακόβουλες διαφημίσεις προωθούν fake chat apps
Τον περασμένο μήνα, η Orange Cyberdefense αποκάλυψε ένα προηγουμένως μη τεκμηριωμένο σύστημα κατεύθυνσης κυκλοφορίας (TDS) ονόματι R0bl0ch0n TDS, το οποίο χρησιμοποιείται για την προώθηση απατών μάρκετινγκ συνεργατών μέσω ενός δικτύου ψεύτικων ιστότοπων ερευνών καταστημάτων και κληρώσεων, με στόχο τη συλλογή πληροφοριών πιστωτικών καρτών.
“Πολλοί διαφορετικοί φορείς χρησιμοποιούνται για την αρχική διάδοση των URL που ανακατευθύνονται μέσω του R0bl0ch0n TDS, υποδεικνύοντας ότι αυτές οι καμπάνιες πιθανότατα πραγματοποιούνται από διαφορετικές θυγατρικές”, ανέφερε ο ερευνητής ασφάλειας Simon Vernin.
Η αποκάλυψη αυτή έρχεται καθώς έχουν παρατηρηθεί ψεύτικα Google Ads, οι οποίες εμφανίζονται κατά την αναζήτηση του Google Authenticator και ανακατευθύνουν τους χρήστες σε έναν απατηλό ιστότοπο (“chromeweb-authenticators[.]com”). Ο ιστότοπος αυτός προσφέρει ένα εκτελέσιμο Windows που φιλοξενείται στο GitHub και τελικά εγκαθιστά έναν κλέφτη πληροφοριών με την ονομασία DeerStealer.
Αυτό που καθιστά τις διαφημίσεις φαινομενικά νόμιμες είναι ότι εμφανίζονται να προέρχονται από το “google.com”, με την ταυτότητα του διαφημιστή να επαληθεύεται από την Google. Όπως αναφέρει η Malwarebytes, “κάποιο άγνωστο άτομο μπόρεσε να μιμηθεί την Google και να προωθήσει επιτυχώς κακόβουλο λογισμικό μεταμφιεσμένο ως επώνυμο προϊόν της Google.”
Επιπλέον, έχουν εντοπιστεί καμπάνιες κακόβουλης διαφήμισης που διαδίδουν διάφορες άλλες οικογένειες κακόβουλου λογισμικού, όπως το SocGholish (γνωστό και ως FakeUpdates), το MadMxShell και το WorkersDevBackdoor. Οι αναλύσεις της Malwarebytes αποκαλύπτουν κοινούς παράγοντες υποδομής μεταξύ των δύο τελευταίων, υποδεικνύοντας ότι πιθανότατα προέρχονται από τους ίδιους απειλητικούς φορείς.
Διαβάστε επίσης: Xiaomi: Θα καταργήσει τα System Ads;
Επιπλέον, οι διαφημίσεις για το Angry IP Scanner έχουν χρησιμοποιηθεί για να παρασύρουν χρήστες σε ψεύτικες ιστοσελίδες. Η διεύθυνση ηλεκτρονικού ταχυδρομείου “goodgoo1ge@protonmail[.]com” έχει χρησιμοποιηθεί για την εγγραφή domain που φιλοξενούν τόσο το MadMxShell όσο και το WorkersDevBackdoor.
“Και τα δύο αυτά κακόβουλα λογισμικά έχουν τη δυνατότητα να συλλέγουν και να κλέβουν ευαίσθητα δεδομένα, ενώ παρέχουν και μια άμεση διαδρομή εισόδου για τους μεσίτες αρχικής πρόσβασης που εμπλέκονται στην ανάπτυξη ransomware“, δήλωσε ο ερευνητής ασφαλείας Jerome Segura.
Πηγή: thehackernews
