🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os investigadores de segurança cibernética divulgaram detalhes de atividades fraudulentas dirigidas a utilizadores em todo o Médio Oriente e Norte de África, através do emprego de várias contas fraudulentas do Facebook que se faziam passar por políticos, figuras públicas e organizações de confiança.
“Essas contas promoveram ofertas falsas, incluindo pacotes gratuitos de internet móvel, compensação financeira e programas de subsídios governamentais”, disseram os analistas do Grupo-IB Anna Yurtaeva e Viacheslav Shevchenko.
“As vítimas foram encorajadas a clicar em links incorporados para reivindicar os benefícios anunciados, mas em vez disso foram redirecionadas através de uma cadeia de sites intermediários que acabou levando ao phishing e à infraestrutura de monetização de tráfego”.
A empresa de segurança cibernética com sede em Cingapura tem essas campanhas para o Sniper Dz, uma plataforma pronta para uso de phishing como serviço (PhaaS) que foi retirada do ar no mês passado em uma operação liderada pela INTERPOL. As descobertas indicam que a plataforma vai além de facilitar o roubo de credenciais, gerando receitas ilícitas através do abuso de notificações do navegador, assinaturas premium de SMS, chamadas com tarifas premium e golpes de investimento.
Um "funil típico de vítimas de fraude do Sniper Dz" começa com iscas de engenharia social localizadas, com os golpistas se passando por provedores de telecomunicações conhecidos, como a Algérie Télécom, para promover ofertas falsas, para direcionar os usuários a domínios hospedados no Link em serviços biológicos que atuam como uma camada intermediária entre a postagem na mídia social e o destino final.
“Em vez de direcionar as vítimas diretamente para um site malicioso, a campanha primeiro direciona os usuários através de plataformas confiáveis de agregação de links, como Linkbio e Linktree”, disseram os pesquisadores do Group-IB. “Os invasores criam páginas de destino falsas em domínios operados por esses serviços.”
O ataque termina direcionando as vítimas para uma página que obtém permissões de notificação do navegador, solicitando que os usuários cliquem em “Permitir” para continuar. Nos bastidores, o código incorporado na página da web inscreve o navegador da web em um sistema de notificação push usando uma chave pública de identificação voluntária do servidor de aplicativos (VAPID).
O Group-IB disse que a mesma chave VAPID foi observada em campanhas disfarçadas de provedores de telecomunicações na Argélia e em golpes relacionados a investimentos direcionados a usuários em várias regiões.
“Como as chaves públicas VAPID são usadas para identificar o serviço de notificação responsável pela entrega de mensagens push, sua reutilização pode fornecer informações valiosas sobre as relações de infraestrutura subjacentes”, disse a empresa. “A aparência consistente da mesma chave em campanhas distintas sugere que as operadoras estão contando com um ecossistema de notificação push compartilhado, em vez de uma infraestrutura independente.”
Além disso, a página se envolve no sequestro do botão Voltar, injetando 10 estados de histórico falsos, enganando os usuários para que visitem sites que podem veicular anúncios não solicitados ou prendendo-os em uma "prisão do botão Voltar" e dentro de conteúdo controlado pelo invasor para aumentar as impressões de anúncios, promover golpes ou entregar conteúdo malicioso.
“A página também implementa uma técnica de aba que é ativada quando os usuários interagem com determinados links”, observou a empresa de segurança cibernética. Se um link abrir uma nova aba do navegador, um script atrasado redirecionará silenciosamente a aba original para outro destino controlado pelos operadores.
“Isso permite que a campanha continue direcionando tráfego por meio de sua infraestrutura de redirecionamento e monetização, mesmo depois que a vítima acredita ter saído do site. Ao combinar o abuso de notificação do navegador com manipulação de histórico e redirecionamentos de abas, os operadores tornam significativamente mais difícil para os usuários escaparem do ecossistema fraudulento.
Depois que os usuários são inscritos na infraestrutura de notificação, os ataques progridem para a fase de monetização, encaminhando as vítimas para um sistema de distribuição de tráfego (TDS) que determina qual golpe apresentar com base em fatores como tipo de dispositivo, localização e operadora móvel. Os caminhos potenciais incluem golpes de chamadas com tarifas premium, fraudes de assinaturas de SMS premium e golpes de investimento.
“Esta campanha demonstra como as operações modernas de fraude dependem cada vez mais do abuso de tecnologias web legítimas, em vez de malware tradicional”, afirmou o Group-IB. “Em vez de infectar dispositivos, os operadores exploram plataformas confiáveis, recursos de navegador e técnicas de engenharia social para guiar as vítimas através de um funil de monetização cuidadosamente projetado”.
“Essas contas promoveram ofertas falsas, incluindo pacotes gratuitos de internet móvel, compensação financeira e programas de subsídios governamentais”, disseram os analistas do Grupo-IB Anna Yurtaeva e Viacheslav Shevchenko.
“As vítimas foram encorajadas a clicar em links incorporados para reivindicar os benefícios anunciados, mas em vez disso foram redirecionadas através de uma cadeia de sites intermediários que acabou levando ao phishing e à infraestrutura de monetização de tráfego”.
A empresa de segurança cibernética com sede em Cingapura tem essas campanhas para o Sniper Dz, uma plataforma pronta para uso de phishing como serviço (PhaaS) que foi retirada do ar no mês passado em uma operação liderada pela INTERPOL. As descobertas indicam que a plataforma vai além de facilitar o roubo de credenciais, gerando receitas ilícitas através do abuso de notificações do navegador, assinaturas premium de SMS, chamadas com tarifas premium e golpes de investimento.
Um "funil típico de vítimas de fraude do Sniper Dz" começa com iscas de engenharia social localizadas, com os golpistas se passando por provedores de telecomunicações conhecidos, como a Algérie Télécom, para promover ofertas falsas, para direcionar os usuários a domínios hospedados no Link em serviços biológicos que atuam como uma camada intermediária entre a postagem na mídia social e o destino final.
“Em vez de direcionar as vítimas diretamente para um site malicioso, a campanha primeiro direciona os usuários através de plataformas confiáveis de agregação de links, como Linkbio e Linktree”, disseram os pesquisadores do Group-IB. “Os invasores criam páginas de destino falsas em domínios operados por esses serviços.”
O ataque termina direcionando as vítimas para uma página que obtém permissões de notificação do navegador, solicitando que os usuários cliquem em “Permitir” para continuar. Nos bastidores, o código incorporado na página da web inscreve o navegador da web em um sistema de notificação push usando uma chave pública de identificação voluntária do servidor de aplicativos (VAPID).
O Group-IB disse que a mesma chave VAPID foi observada em campanhas disfarçadas de provedores de telecomunicações na Argélia e em golpes relacionados a investimentos direcionados a usuários em várias regiões.
“Como as chaves públicas VAPID são usadas para identificar o serviço de notificação responsável pela entrega de mensagens push, sua reutilização pode fornecer informações valiosas sobre as relações de infraestrutura subjacentes”, disse a empresa. “A aparência consistente da mesma chave em campanhas distintas sugere que as operadoras estão contando com um ecossistema de notificação push compartilhado, em vez de uma infraestrutura independente.”
Além disso, a página se envolve no sequestro do botão Voltar, injetando 10 estados de histórico falsos, enganando os usuários para que visitem sites que podem veicular anúncios não solicitados ou prendendo-os em uma "prisão do botão Voltar" e dentro de conteúdo controlado pelo invasor para aumentar as impressões de anúncios, promover golpes ou entregar conteúdo malicioso.
“A página também implementa uma técnica de aba que é ativada quando os usuários interagem com determinados links”, observou a empresa de segurança cibernética. Se um link abrir uma nova aba do navegador, um script atrasado redirecionará silenciosamente a aba original para outro destino controlado pelos operadores.
“Isso permite que a campanha continue direcionando tráfego por meio de sua infraestrutura de redirecionamento e monetização, mesmo depois que a vítima acredita ter saído do site. Ao combinar o abuso de notificação do navegador com manipulação de histórico e redirecionamentos de abas, os operadores tornam significativamente mais difícil para os usuários escaparem do ecossistema fraudulento.
Depois que os usuários são inscritos na infraestrutura de notificação, os ataques progridem para a fase de monetização, encaminhando as vítimas para um sistema de distribuição de tráfego (TDS) que determina qual golpe apresentar com base em fatores como tipo de dispositivo, localização e operadora móvel. Os caminhos potenciais incluem golpes de chamadas com tarifas premium, fraudes de assinaturas de SMS premium e golpes de investimento.
“Esta campanha demonstra como as operações modernas de fraude dependem cada vez mais do abuso de tecnologias web legítimas, em vez de malware tradicional”, afirmou o Group-IB. “Em vez de infectar dispositivos, os operadores exploram plataformas confiáveis, recursos de navegador e técnicas de engenharia social para guiar as vítimas através de um funil de monetização cuidadosamente projetado”.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #golpes #de #sniper #dz #têm #como #alvo #usuários #do #mena #por #meio #de #ofertas #falsas #do #facebook #e #alertas #do #navegador
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário