作者:威胁情报团队
译者:知道创宇404实验室翻译组
原文链接:https://www.malwarebytes.com/blog/threat-intelligence/2022/09/microsoft-edges-news-feed-pushes-tech-support-scam

虽然谷歌Chrome仍然是顶级浏览器,但越来越多的用户开始使用基于Chrome源代码的Microsoft Edge。也许更重要的是,它是Microsoft Windows平台上的默认浏览器,因此,欺诈者对其用户群的某些部分特别感兴趣。

我们在Microsoft Edge新闻源上跟踪并观察到恶意广告活动,用于将受害者重定向到技术支持诈骗页面。该方案很简单,依靠黑客在Edge主页上插入他们的广告,并试图用令人震惊或离奇的故事来吸引用户。

在这篇博文中,我们提高了人们的意识,并揭露了这个已经持续了至少两个月的骗局行动。

概述

Microsoft Edge新闻源是在新闻内容、流量更新和广告之间交替出现的缩略图集合。我们发现了几个恶意广告,并将不知情的用户重定向到技术支持诈骗。

重定向流程总结如下图:

img

技术细节

当用户点击其中一个恶意广告时,会通过API(api.taboola.com)向Taboola广告网络发出请求,以接受对广告横幅的点击。服务器将响应下一个要加载的URL,格式如下:

document.location.replace('https:\/\/[scammer domain]\/{..}\/?utm_source=taboola&utm_medium=referral

对其中一个恶意域的第一个请求会检索Base64编码的JavaScript,其目标是检查当前访问者并确定他们是否是潜在目标。

img

该脚本的原始版本可以在这里找到,而美化版本可以在这里找到。

此脚本的目标是仅显示对潜在受害者的恶意重定向,忽略不感兴趣的机器人、VPN和地理位置,显示与广告相关的无害页面。

该计划旨在利用伪造的浏览器锁定页面欺骗无辜用户,这些是技术支持诈骗者非常熟悉的。值得注意的是,这里利用了云基础设施,使其很难被阻止。

img

这些是ondigitalocean.app上不断变化的子域;在24小时内,我们收集了200多个不同的主机名。

基础设施

Edge News Feed 上显示的广告与以下域链接(此列表并不详尽):

1.feedsonbudget[.]com
2.financialtrending[.]com
3.foddylearn[.]com
4.glamorousfeeds[.]com
5.globalnews[.]cloud
6.hardwarecloseout[.]com
7.humaantouch[.]com
8.mainlytrendy[.]com
9.manbrandsonline[.]com
10.polussuo[.]com
11.newsagent[.]quest
12.newsforward[.]quest
13.puppyandcats[.]online
14.thespeedoflite[.]com
15.tissatweb[.]us
16.trendingonfeed[.]com
17.viralonspot[.]com
18.weeklylive[.]info
19.everyavenuetravel[.]site

其中一个域tissatweb[.]us也被公开报道为托管浏览器储物柜,它包含了有趣的whois数据:

Registrant Email: sumitkalra1683@gmail[.]com

该电子邮件地址与以下附加域相关联:

1.tissat[.]us
2.mvpconsultant[.]us
3.aksconsulting[.]us
4.furnitureshopone[.]us
5.minielectronic[.]in
6.antivirusphonenumber[.]org
7.quickbooktechnicalsupport[.]org
8.printertechnicahelp[.]com
9.comsecurityessentials[.]support
10.decfurnish[.]com
11.netsecurity-essential[.]com
12.mamsolutions[.]us
13.mamsolution[.]us
14.a-techsolutions[.]us

该电子邮件地址属于名为Sumit Kalra的个人 ,他被列为Mws软件服务私人有限公司的董事,该公司位于德里,其主要业务活动是“计算机和相关活动”。

保护

就遥测噪声而言,这一特殊活动是目前我们看到的最大的活动之一。

img

避免检测的指纹识别很有趣,而且比平时更复杂。我们将继续揭露和报告用于诈骗的滥用基础设施。

由于我们的Browser Guard扩展,Malwarebytes用户已经受到保护,免受这种技术支持骗局的侵害。


Paper 本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/1971/