Cybersecurity-onderzoekers hebben details onthuld van frauduleuze activiteiten die zich richten op gebruikers in het Midden-Oosten en Noord-Afrika door gebruik te maken van verschillende frauduleuze Facebook-accounts die zich voordoen als politici, publieke figuren en vertrouwde organisaties.
“Deze accounts maakten reclame voor valse aanbiedingen, waaronder gratis mobiele internetpakketten, financiële compensatie en overheidssubsidieprogramma’s”, aldus Group-IB-analisten Anna Yurtaeva en Viacheslav Shevchenko.
“Slachtoffers werden aangemoedigd om op ingebedde links te klikken om aanspraak te maken op de geadverteerde voordelen, maar werden in plaats daarvan omgeleid via een reeks intermediaire websites die uiteindelijk leidden tot een infrastructuur voor het genereren van inkomsten uit phishing en verkeer.”
Het in Singapore gevestigde cyberbeveiligingsbedrijf heeft deze campagnes voor Sniper Dz, een kant-en-klaar phishing-as-a-service (PhaaS)-platform dat vorige maand werd verwijderd tijdens een door INTERPOL geleide operatie. De bevindingen geven aan dat het platform verder gaat dan het faciliteren van diefstal van inloggegevens en illegale inkomsten genereert via misbruik van browsermeldingen, premium sms-abonnementen, premium telefoongesprekken en investeringsfraude.
Een ‘typische Sniper Dz-slachtoffertrechter’ begint met gelokaliseerde social engineering-lokmiddelen, waarbij de oplichters zich voordoen als bekende telecomproviders zoals Algérie Télécom om nepaanbiedingen te promoten en gebruikers naar domeinen te leiden die worden gehost op Link in bio-services die fungeren als tussenlaag tussen het bericht op sociale media en de eindbestemming.
“In plaats van slachtoffers rechtstreeks naar een kwaadaardige website te leiden, leidt de campagne gebruikers eerst via vertrouwde link-aggregatieplatforms zoals Linkbio en Linktree”, aldus onderzoekers van Group-IB. “De aanvallers creëren valse landingspagina’s op domeinen die door deze services worden beheerd.”
De aanval eindigt met het doorsturen van de slachtoffers naar een pagina die toestemming voor browsermeldingen verkrijgt door gebruikers te vragen op ‘Toestaan’ te klikken om door te gaan. Achter de schermen abonneert code die in de webpagina is ingebed de webbrowser op een pushmeldingssysteem met behulp van een openbare sleutel van Voluntary Application Server Identification (VAPID).
Group-IB zei dat dezelfde VAPID-sleutel is waargenomen bij campagnes die zich voordoen als telecommunicatieaanbieders in Algerije en bij investeringsgerelateerde oplichting die zich richt op gebruikers in meerdere regio’s.
“Omdat de publieke VAPID-sleutels worden gebruikt om de notificatiedienst te identificeren die verantwoordelijk is voor het afleveren van push-berichten, kan het hergebruik ervan waardevol inzicht verschaffen in de onderliggende infrastructuurrelaties”, aldus het bedrijf. “De consistente verschijning van dezelfde sleutel in verder verschillende campagnes suggereert dat de operators vertrouwen op een gedeeld push-notificatie-ecosysteem in plaats van op een onafhankelijke infrastructuur.”
Bovendien houdt de pagina zich bezig met het kapen van de terugknop door 10 valse geschiedenisstatussen te injecteren, gebruikers te misleiden om sites te bezoeken die mogelijk ongevraagde advertenties weergeven, of ze op te sluiten in een “terugknopgevangenis” en in door aanvallers gecontroleerde inhoud om het aantal advertentievertoningen te vergroten, oplichting te bevorderen of kwaadaardige inhoud te leveren.
“De pagina implementeert ook een tab-under-techniek die wordt geactiveerd wanneer gebruikers met bepaalde links communiceren”, merkte het cyberbeveiligingsbedrijf op. Als een link een nieuw browsertabblad opent, stuurt een vertraagd script het oorspronkelijke tabblad stilletjes door naar een andere bestemming die wordt beheerd door de operators.
“Hierdoor kan de campagne doorgaan met het genereren van verkeer via de omleidings- en inkomstengenererende infrastructuur, zelfs nadat het slachtoffer denkt dat ze de site hebben verlaten. Door misbruik van browsermeldingen te combineren met geschiedenismanipulatie en tab-under-omleidingen, maken de operators het aanzienlijk moeilijker voor gebruikers om aan het zwendel-ecosysteem te ontsnappen.”
Zodra gebruikers zijn ingeschreven bij de meldingsinfrastructuur, gaan de aanvallen over naar de fase van het genereren van inkomsten, waarbij de slachtoffers worden doorgestuurd naar een verkeersdistributiesysteem (TDS) dat bepaalt welke zwendel moet worden gepresenteerd op basis van factoren als apparaattype, locatie en mobiele provider. Mogelijke routes zijn onder meer oplichting met premium-tarieven, fraude met premium-sms-abonnementen en oplichting met investeringen.
“Deze campagne laat zien hoe moderne fraudeoperaties steeds meer afhankelijk zijn van misbruik van legitieme webtechnologieën in plaats van traditionele malware”, aldus Group-IB. “In plaats van apparaten te infecteren, exploiteren de operators vertrouwde platforms, browserfuncties en social engineering-technieken om slachtoffers door een zorgvuldig ontworpen trechter voor het genereren van inkomsten te leiden.”
