Los usuarios de Facebook están siendo atacados por una red de comercio electrónico fraudulenta que utiliza cientos de sitios web falsos para robar datos personales y financieros mediante la suplantación de marcas y trucos de publicidad maliciosa.
El equipo de inteligencia de fraude de pagos de Recorded Future, que detectó la campaña el 17 de abril de 2024, le dio el nombre de ERIAKOS debido al uso de la misma red de entrega de contenido (CDN) oss.[.]com.
“Solo se podía acceder a estos sitios fraudulentos a través de dispositivos móviles y señuelos publicitarios, una táctica destinada a evadir los sistemas de detección automatizados”, dijo la compañía. dichoseñalando que la red incluía 608 sitios web fraudulentos y que la actividad abarcó varias oleadas de corta duración.
Un aspecto notable de esta sofisticada campaña es que estaba dirigida exclusivamente a usuarios móviles que accedían a sitios fraudulentos a través de anuncios señuelo de Facebook, algunos de los cuales dependían de descuentos por tiempo limitado para atraer a los usuarios a hacer clic. Recorded Future dijo que cada día se publican hasta 100 meta anuncios vinculados a un único sitio fraudulento.
Los sitios web y anuncios falsificados se hacen pasar principalmente por una gran plataforma de comercio electrónico y un fabricante de herramientas eléctricas, y también se dirigen a las víctimas con ofertas de venta falsas de productos de varias marcas conocidas. Otro mecanismo de distribución crucial implica el uso de comentarios falsos de usuarios en Facebook para atraer a víctimas potenciales.
“Las cuentas de comerciantes y los dominios asociados vinculados a los sitios web fraudulentos están registrados en China, lo que indica que los actores maliciosos que ejecutan esta campaña probablemente establecieron la empresa que utilizan para administrar las cuentas de comerciantes fraudulentas en China”, señaló Recorded Future.
No es la primera vez redes criminales de comercio electrónico surgió con el objetivo de recopilar información de tarjetas de crédito y obtener ganancias ilícitas de pedidos falsos. En mayo de 2024, una red masiva de 75.000 tiendas online falsas –denominada falso bazar – supuestamente ganó más de $50 millones en publicidad de zapatos y ropa de marca de bajo costo.
El mes pasado, Orange Cyberdefense reveló un sistema de dirección de tráfico (TDS) previamente indocumentado llamado R0bl0ch0n TDS que se utiliza para promover estafas de marketing de afiliados a través de una red de tiendas falsas y sitios de encuestas mediante lotería con el fin de obtener información de tarjetas de crédito.
“Se utilizan varios vectores distintos para la distribución inicial de URL que redireccionan a través del TDS R0bl0ch0n, lo que indica que estas campañas probablemente las ejecuten diferentes afiliados”, dijo el investigador de seguridad Simon Vernin. dicho.
Este desarrollo se debe a que los anuncios falsos de Google que se muestran al buscar Google Authenticator en el motor de búsqueda han sido observado redirigir a los usuarios a un sitio malicioso (“autenticadores de Chromeweb”)[.]com”) que proporciona un ejecutable de Windows alojado en GitHub, que finalmente elimina un ladrón de información llamado DeerStealer.
Lo que hace que los anuncios parezcan legítimos es que aparecen como si fueran de “google.com” y que Google verifica la identidad del anunciante, según Malwarebytes, que decía que “un individuo desconocido pudo hacerse pasar por Google y logró distribuir malware disfrazado de producto de la marca Google”.
También se han detectado campañas de publicidad maliciosa que difunden otras familias de malware, como SocGholish (también conocido como FakeUpdates), MadMxShell y WorkersDevBackdoor, y Malwarebytes descubrió superposiciones de infraestructura entre los dos últimos, lo que indica que probablemente estén dirigidos por los mismos actores de amenazas.
Además, se utilizaron anuncios de Angry IP Scanner para atraer a los usuarios a sitios web falsos y a la dirección de correo electrónico “goodgoo1ge@protonmail”.[.]com” se utilizó para registrar dominios que proporcionaban tanto MadMxShell como WorkersDevBackdoor.
“Ambas cargas útiles de malware tienen la capacidad de recopilar y robar datos confidenciales, además de proporcionar una ruta de entrada directa para los agentes de acceso inicial involucrados en la implementación del ransomware”, dijo el investigador de seguridad Jérôme Segura. dicho.