Facebook-gebruikers zijn het doelwit van een oplichtersnetwerk voor e-commerce dat honderden nepwebsites gebruikt om persoonlijke en financiële gegevens te stelen met behulp van merkimitatie en malvertisingtrucs.
Het Payment Fraud Intelligence-team van Recorded Future, dat de campagne op 17 april 2024 ontdekte, heeft deze de naam ERIAKOS gegeven vanwege het gebruik van hetzelfde content delivery network (CDN) oss.eriakos(.)com.
“Deze frauduleuze sites waren alleen toegankelijk via mobiele apparaten en advertentielokmiddelen, een tactiek die erop gericht is om geautomatiseerde detectiesystemen te omzeilen”, aldus het bedrijf. Het bedrijf merkte daarbij op dat het netwerk 608 frauduleuze websites omvatte en dat de activiteit zich over meerdere kortdurende golven uitstrekte.
Een opvallend aspect van de geavanceerde campagne is dat het zich uitsluitend richtte op mobiele gebruikers die toegang hadden tot de scam-sites via advertentielokkers op Facebook, waarvan sommige afhankelijk waren van kortingen voor een beperkte tijd om gebruikers ertoe te verleiden erop te klikken. Recorded Future zei dat er op een dag wel 100 Meta Ads worden weergegeven die betrekking hebben op één scam-website.
De namaakwebsites en advertenties blijken zich voornamelijk voor te doen als een groot online e-commerceplatform en een fabrikant van elektrisch gereedschap, en ze pikken slachtoffers eruit met valse verkoopaanbiedingen voor producten van verschillende bekende merken. Een ander cruciaal distributiemechanisme is het gebruik van nep-gebruikerscommentaren op Facebook om potentiële slachtoffers te lokken.
“Handelsrekeningen en gerelateerde domeinen die aan de oplichtingswebsites zijn gekoppeld, zijn geregistreerd in China. Dit geeft aan dat de kwaadwillenden die deze campagne uitvoeren, hun bedrijf voor het beheer van de oplichtingsrekeningen waarschijnlijk in China hebben gevestigd”, aldus Recorded Future.
Dit is niet de eerste keer dat criminele e-commercenetwerken opduiken met als doel creditcardgegevens te verzamelen en illegale winst te maken met nepbestellingen. In mei 2024 werd ontdekt dat een enorm netwerk van 75.000 nepwebwinkels – BogusBazaar genaamd – meer dan $ 50 miljoen had verdiend door schoenen en kleding van bekende merken tegen lage prijzen te adverteren.
Vorige maand onthulde Orange Cyberdefense een tot nu toe niet gedocumenteerd verkeersgeleidingssysteem (TDS) met de naam R0bl0ch0n TDS. Dit systeem wordt gebruikt om affiliate marketingfraude te promoten via een netwerk van nepwinkels en sweepstake-enquêtewebsites met als doel creditcardgegevens te verkrijgen.
“Er worden meerdere, verschillende vectoren gebruikt voor de initiële verspreiding van de URL’s die doorverwijzen via de R0bl0ch0n TDS. Dit geeft aan dat deze campagnes waarschijnlijk door verschillende partners worden uitgevoerd”, aldus beveiligingsonderzoeker Simon Vernin.
De ontwikkeling vindt plaats omdat er nep-Google-advertenties zijn waargenomen die worden weergegeven wanneer gebruikers in de zoekmachine naar Google Authenticator zoeken. Deze advertenties leiden gebruikers door naar een frauduleuze site (“chromeweb-authenticators(.)com”) die een uitvoerbaar Windows-bestand aanbiedt dat op GitHub wordt gehost en uiteindelijk een informatiedief met de naam DeerStealer bevat.
Wat de advertenties legitiem maakt, is dat ze eruitzien alsof ze afkomstig zijn van “google.com” en dat de identiteit van de adverteerder wordt geverifieerd door Google, aldus Malwarebytes. Volgens Malwarebytes kon “een onbekende persoon zich voordoen als Google en met succes malware verspreiden die vermomd was als een merkproduct van Google.”
Er zijn ook malvertisingcampagnes gesignaleerd die verschillende andere malwarefamilies verspreiden, zoals SocGholish (ook bekend als FakeUpdates), MadMxShell en WorkersDevBackdoor. Malwarebytes heeft infrastructurele overlappingen tussen de laatste twee ontdekt, wat aangeeft dat ze waarschijnlijk door dezelfde bedreigingsactoren worden uitgevoerd.
Bovendien zijn advertenties voor Angry IP Scanner gebruikt om gebruikers naar nepwebsites te lokken, en is het e-mailadres “goodgoo1ge@protonmail(.)com” gebruikt om domeinen te registreren die zowel MadMxShell als WorkersDevBackdoor leveren.
“Beide malware-payloads kunnen gevoelige gegevens verzamelen en stelen en bieden daarnaast een directe toegangsroute voor initiële toegangsbrokers die betrokken zijn bij de implementatie van ransomware”, aldus beveiligingsonderzoeker Jerome Segura.
