根据网站seebug消息,虽然谷歌Chrome仍然是顶级浏览器,但越来越多的用户开始使用基于Chrome源代码的Microsoft Edge。也许更重要的是,它是Microsoft Windows平台上的默认浏览器,因此,欺诈者对其用户群的某些部分特别感兴趣。

我们在Microsoft Edge新闻源上跟踪并观察到恶意广告活动,用于将受害者重定向到技术支持诈骗页面。该方案很简单,依靠黑客在Edge主页上插入他们的广告,并试图用令人震惊或离奇的故事来吸引用户。

在这篇博文中,我们提高了人们的意识,并揭露了这个已经持续了至少两个月的骗局行动。

Microsoft Edge新闻源是在新闻内容、流量更新和广告之间交替出现的缩略图集合。我们发现了几个恶意广告,并将不知情的用户重定向到技术支持诈骗。

重定向流程总结如下图:

技术细节

当用户点击其中一个恶意广告时,会通过API(api.taboola.com)向Taboola广告网络发出请求,以接受对广告横幅的点击。服务器将响应下一个要加载的URL,格式如下:

document.location.replace('https:\/\/[scammerdomain]\/{..}\/?utm_source=taboola&utm_medium=referral

对其中一个恶意域的第一个请求会检索Base64编码的JavaScript,其目标是检查当前访问者并确定他们是否是潜在目标。

该脚本的原始版本可以在这里找到,而美化版本可以在这里找到。

此脚本的目标是仅显示对潜在受害者的恶意重定向,忽略不感兴趣的机器人、VPN和地理位置,显示与广告相关的无害页面。

该计划旨在利用伪造的浏览器锁定页面欺骗无辜用户,这些是技术支持诈骗者非常熟悉的。值得注意的是,这里利用了云基础设施,使其很难被阻止。

这些是ondigitalocean.app上不断变化的子域;在24小时内,我们收集了200多个不同的主机名。

基础设施

Edge News Feed 上显示的广告与以下域链接(此列表并不详尽):

1.feedsonbudget[.]com

2.financialtrending[.]com

3.foddylearn[.]com

4.glamorousfeeds[.]com

5.globalnews[.]cloud

6.hardwarecloseout[.]com

7.humaantouch[.]com

8.mainlytrendy[.]com

9.manbrandsonline[.]com

10.polussuo[.]com

11.newsagent[.]quest

12.newsforward[.]quest

13.puppyandcats[.]online

14.thespeedoflite[.]com

15.tissatweb[.]us

16.trendingonfeed[.]com

17.viralonspot[.]com

18.weeklylive[.]info

19.everyavenuetravel[.]site

其中一个域tissatweb[.]us也被公开报道为托管浏览器储物柜,它包含了有趣的whois数据:

Registrant Email: sumitkalra1683@gmail[.]com

该电子邮件地址与以下附加域相关联:

1.tissat[.]us

2.mvpconsultant[.]us

3.aksconsulting[.]us

4.furnitureshopone[.]us

5.minielectronic[.]in

6.antivirusphonenumber[.]org

7.quickbooktechnicalsupport[.]org

8.printertechnicahelp[.]com

9.comsecurityessentials[.]support

10.decfurnish[.]com

11.netsecurity-essential[.]com

12.mamsolutions[.]us

13.mamsolution[.]us

14.a-techsolutions[.]us

该电子邮件地址属于名为Sumit Kalra的个人 ,他被列为Mws软件服务私人有限公司的董事,该公司位于德里,其主要业务活动是“计算机和相关活动”。

就遥测噪声而言,这一特殊活动是目前我们看到的最大的活动之一。

避免检测的指纹识别很有趣,而且比平时更复杂。我们将继续揭露和报告用于诈骗的滥用基础设施。