Недавно Palo Alto обнаружили 276 Stockpiled доменов в кампании по мошенничеству с подарочными картами.
Описание
- Это мошенничество, рекламирующее подарочные карты для популярных сервисов, таких как Google Play, Amazon и Roblox.
- Для получения подарочных карт эта кампания перенаправляет пользователей на загрузку расширений, покупку услуг по партнерским ссылкам и разглашение личной информации.
- Запасные домены автоматически генерируются по одному из шести шаблонов, где пробелы соответствуют трем случайным буквам:
- _ _ _deal.com
- _ _ _selling.com
- _ _ _codes.com
- offer_ _ _.com
- _ _ _offer.com
- _ _ _eshop.com
- Все эти сайты ссылаются на один и тот же IP-адрес: 198.12.86[.]90 и используют один и тот же набор из четырех серверов имен.
- Эта кампания также использует промежуточные домены TDS, такие как affgo[.]xyz, для перенаправления на конечный сайт на одном из следующих трех доменов:
- 24.primerewardspot[.]com
- teedrowed[.]co[.]in
- gounrical[.]com
- На этих сайтах пользователям предлагается выполнить задания, чтобы получить подарочные карты. Этими заданиями могут быть:
- использовать партнерские ссылки для подписки на сервисы, включая USA Today и Freecash[.]com
- Загрузить расширения для браузера
- перейти на страницу, где пользователей просят сообщить личную информацию и контактные данные для продолжения.
Indicators of Compromise
IPv4
- 198.12.86.90
Domains
- 24.primerewardspot.com
- affgo.xyz
- ctadeal.com
- gounrical.com
- gtzdeal.com
- kgmdeal.com
- mpdoffer.com
- offerdcm.com
- prveshop.com
- qrmselling.com
- rgndeal.com
- stecodes.com
- teedrowed.co.in
URLs
- https://24.primerewardspot.com/?cid=z218a-2153&t1=241845&t2=&t3=10256a83600965cf6bda7e96336401&t4=&t5=&t6=%7Baff_sub6%7D&t7=%7Baff_sub7%7D&t8=750CashApp&transaction_id=102602a84878f8143f796240ccedb9&email=%7Bemail%7D&userFname=%7Bfirst_name%7D&last=%7Blast_name%7D&userAddress=%7Baddress%7D&cityName=%7BcityName%7D&stateName=%7Bstate%7D&stateCode=%7Bstate_code%7D&zipcode=%7Bzip%7D&countryName=%7Bcountry%7D&mobile=%7Bphone%7D&dobdate=%7Bdobdate%7D&dobmonth=%7Bdobmonth%7D&dobyear=%7Bdobyear%7D&gender=%7Bgender%7D&isr=true&sessionid=0a8ea215-a21e-4b1e-bb0e-0354d7118ed2
- https://affgo.xyz/click?p=18005&t=623b5b3aabb58&o=22130&r=aHR0cHM6Ly9jdGFkZWFsLmNvbS8%3D&c=1&s1=
- https://affgo.xyz/click?p=18005&t=623b5b3aabb58&o=23184&r=aHR0cHM6Ly9jdGFkZWFsLmNvbS90b29scy9mcmVlLWdvb2dsZS1wbGF5LWdpZnQtY2FyZHMuaHRtbA%3D%3D&c=1&s1=
- https://ctadeal.com/tools/free-google-play-gift-cards.html
- https://gounrical.com/click.php?key=ls9yc3ivpkcbp3geh7vr&cid=M7462396954014646294&pad=4766&campaign=054d44&pid=4766-5349350z
- https://teedrowed.co.in/click.php?key=ls9yc3ivpkcbp3geh7vr&cid=M7463578220344901656&pad=4766&campaign=be0f75&pid=4766-5349350z
