Usuários do Fb são alvos de uma rede de comércio eletrônico fraudulenta que usa centenas de websites falsos para roubar dados pessoais e financeiros usando truques de falsificação de identidade de marca e malvertising.
A equipe de inteligência de fraude de pagamento da Recorded Future, que detectou a campanha em 17 de abril de 2024, deu a ela o nome de ERIAKOS devido ao uso da mesma rede de distribuição de conteúdo (CDN) oss.eriakos(.)com.
“Esses websites fraudulentos eram acessíveis apenas por meio de dispositivos móveis e anúncios, uma tática que visava driblar sistemas de detecção automatizados”, disse a empresa, observando que a rede period composta por 608 websites fraudulentos e que a atividade abrange várias ondas de curta duração.
Um aspecto notável da campanha sofisticada é que ela tinha como alvo exclusivo usuários móveis que acessavam os websites de golpes por meio de iscas de anúncios no Fb, algumas das quais dependiam de descontos por tempo limitado para atrair os usuários a clicarem neles. A Recorded Future disse que até 100 Meta Advertisements relacionados a um único web site de golpes são exibidos em um dia.
Descobriu-se que os websites e anúncios falsificados personificam principalmente uma grande plataforma de comércio eletrônico on-line e um fabricante de ferramentas elétricas, além de destacar vítimas com ofertas de vendas falsas de produtos de várias marcas conhecidas. Outro mecanismo de distribuição essential envolve o uso de comentários falsos de usuários no Fb para atrair vítimas em potencial.
“Contas de comerciantes e domínios relacionados vinculados aos websites fraudulentos estão registrados na China, indicando que os agentes de ameaças que operam esta campanha provavelmente estabeleceram o negócio que usam para gerenciar as contas de comerciantes fraudulentas na China”, observou a Recorded Future.
Esta não é a primeira vez que redes criminosas de comércio eletrônico surgem com o objetivo de coletar informações de cartão de crédito e obter lucros ilícitos com pedidos falsos. Em maio de 2024, uma enorme rede de 75.000 lojas on-line falsas – apelidada de BogusBazaar – foi descoberta por ter lucrado mais de US$ 50 milhões anunciando calçados e roupas de marcas conhecidas a preços baixos.
Então, no mês passado, a Orange Cyberdefense revelou um sistema de direção de tráfego (TDS) anteriormente não documentado, chamado R0bl0ch0n TDS, que é usado para promover golpes de advertising de afiliados por meio de uma rede de websites falsos de pesquisas de lojas e sorteios com o objetivo de obter informações de cartão de crédito.
“Vários vetores distintos são usados para a disseminação inicial das URLs que redirecionam por meio do R0bl0ch0n TDS, indicando que essas campanhas provavelmente são realizadas por diferentes afiliados”, disse o pesquisador de segurança Simon Vernin.
O desenvolvimento ocorre quando anúncios falsos do Google exibidos ao pesquisar pelo Google Authenticator no mecanismo de busca foram observados redirecionando usuários para um web site desonesto (“chromeweb-authenticators(.)com”) que fornece um executável do Home windows hospedado no GitHub, que acaba derrubando um ladrão de informações chamado DeerStealer.
O que torna os anúncios aparentemente legítimos é que eles parecem ser do “google.com” e a identidade do anunciante é verificada pelo Google, de acordo com a Malwarebytes, que disse que “algum indivíduo desconhecido conseguiu se passar pelo Google e também distribuiu com sucesso um malware disfarçado de um produto da marca Google”.
Campanhas de malvertising também foram detectadas disseminando várias outras famílias de malware, como SocGholish (também conhecido como FakeUpdates), MadMxShell e WorkersDevBackdoor, com o Malwarebytes descobrindo sobreposições de infraestrutura entre os dois últimos, indicando que eles provavelmente são executados pelos mesmos agentes de ameaças.
Além disso, anúncios do Offended IP Scanner foram usados para atrair usuários para websites falsos, e o endereço de e-mail “goodgoo1ge@protonmail(.)com” foi usado para registrar domínios que entregam MadMxShell e WorkersDevBackdoor.
“Ambas as cargas de malware têm a capacidade de coletar e roubar dados confidenciais, além de fornecer um caminho de entrada direto para corretores de acesso inicial envolvidos na implantação de ransomware”, disse o pesquisador de segurança Jerome Segura.
