'Fangxiao' adlı kötü niyetli bir kar amacı gütmeyen grup, iyi bilinen markaları kullanıcıları reklam yazılımı uygulamalarını, tanışma sitelerini veya 'ücretsiz' hediyeleri tanıtan sitelere yönlendiren 42.000'den fazla web alanından oluşan büyük bir ağ oluşturdu.
İthalat alanları, Fangxiao'nun kendi siteleri için reklam geliri veya gruptan trafik satın alan 'müşteriler' için daha fazla ziyaretçi yaratan büyük bir trafik üretim şeması gibi görünen şeyin bir parçası olarak kullanılır.
Cyjax'ın ayrıntılı bir raporuna göre, tehdit aktörleri Çin'in dışına çıkıyor. 2017'den beri perakende, bankacılık, seyahat, ilaç, ulaşım, finans ve enerji sektöründen 400'den fazla ünlü markayı taklit ediyorlar.
Raporda verilen örnekler arasında Coca-Cola, McDonald's, Knorr, Unilever, Shopee, Emirates ve daha fazlası, kapsamlı yerelleştirme seçeneklerine sahip birçok sahte siteyle bulunmaktadır.
Çoğu zaman, fangxiao kurbanları onları Triada Truva veya diğer kötü amaçlı yazılımlarla bulaşan sitelere yönlendirilir. Ancak, bu sitelerin operatörleri ile fangxiao arasındaki bir bağlantı henüz kurulmamıştır.
Müşterileri ve kendi siteleri için büyük bir trafik oluşturmak için Fangxiao, günde yaklaşık 300 yeni marka takviyesi alanını kaydediyor.
Mart 2022'nin başlangıcından bu yana, kötü niyetli operatörler sahte ödüllerini kurbanlara tanıtmak için en az 24.000 iniş ve anket alanını kullandılar.
Bu sitelerin çoğu ".top" tld, ardından ".cn", ".cyou", ".xyz", ".work" ve ".tech" ile kullanılır. Siteler Cloudflare'nin arkasına gizlenmiştir ve Godaddy, Namecheap ve Wix aracılığıyla kaydedilir.
Kullanıcılar bu sitelere mobil reklamlar aracılığıyla veya bağlantıyı içeren bir WhatsApp mesajı aldıktan sonra, genellikle özel bir teklifte bulunur veya alıcıya bir şey kazandıklarını bildirirler.
Bu iniş alanları, ziyaretçileri, kurbanların sahtekarlık belirtilerinden uzak durmasına yardımcı olmak için acil bir zamanlayıcı ile bir anket alanına yönlendirir.
Bazı durumlarda, anketin tamamlanması, kurbanın en az otuz saniye boyunca açılması ve açık kalması istenen bir uygulamanın indirilmesine yol açar ve yeni bir kullanıcıyı fangxiao sevkinden kaydettirmek için yeterli zamana izin verir.
İniş siteleri ayrıca Google ve Facebook'un "şüpheli" olarak işaretlediği YLLIX'in reklamlarına da ev sahipliği yapar ve bunlara tıklarken ayrı bir yeniden yönlendirme zinciriyle sonuçlanır.
Yeniden yönlendirme yolu, kullanıcının konumuna (IP adresi) ve kullanıcı aracısına bağlıdır, bu da Triada Trojan indirmelerine, bağlı kuruluş bağlantıları aracılığıyla Amazon'a, sahte tanışma siteleri ve SMS mikroYayment dolandırıcılıklarına yol açar.
Fangxiao kampanyasının gözlemlenen bir başka destinasyonu, 10 milyondan fazla indirme ile Android cihazlar için bir performans güçlendirici olan 'App Booster Lite - Ram Booster' uygulamasının Play Store sayfasıdır.
Cyjax, uygulamanın kötü niyetli işlevsellik içermediğini, ancak kullanıcılardan riskli izinlere erişimi onaylamalarını istediğini ve kaplaması zor açılır pencereler aracılığıyla ortalama reklam miktarının üzerinde hizmet verdiğini söylüyor.
Uygulamanın yayıncısı LocomInd, daha önce reklam yazılımı dağıtımı ile bağlantılı olan Holacode adlı başka bir uygulama geliştiricisi ile bir IP adresini paylaşıyor.
Bu kampanyada kullanılacak Cyjax tarafından bulunan alanların tam listesi burada bulunabilir.
Cyjax'ın soruşturması, Fangxiao'nun maruz kalan kontrollü panellerden birinde Mandarin kullanmak gibi Çinli bir operatör olduğuna dair birkaç gösterge verdi.
Bununla birlikte, Ogusers gibi forumları hackleme forumlarına bağlı bazı e -posta adreslerinin yanı sıra, tehdit aktörlerinin kimliği hakkında başka bir ipucu yoktur.
Ayrıca, kurbanları çekmek için birçok sahte site kullanan bu büyük yemleme operasyonunun nihai destinasyonlarla ilişkili olup olmadığı veya Fangxiao'nun sadece bu sitelerle kar elde etmek için işbirliği yapıp yapmadığı bilinmemektedir.
Yeni gasp dolandırıcılığı, sitelerin itibarını, sızıntı verilerini hasar etmekle tehdit ediyor
Microsoft, kötü amaçlı yazılımları itmek için Windows Zero-Day hatasını çözer
Kimlik avı, binlerce ev, kurumsal cihazda donxloader kötü amaçlı yazılımları bırakıyor
8 $ 'lık bir karmaşa - Twitter mavisi' doğrulanmış 'hesaplar kripto dolandırıcılıkları
Google Play'de bulunan 1m+ yüklemeli kötü amaçlı Android uygulamaları
Kaynak: Bleeping Computer