В сети обнаружена новая сложная кампания вредоносной рекламы, которая нацелена на пользователей из США. Злоумышленники используют мощную платную рекламную платформу Facebook*, чтобы заманить жертв в ловушку мошеннической схемы фиктивной технической поддержки. Эта атака выделяется быстрым ротацией инфраструктуры и многоступенчатой цепочкой перенаправлений, которая обходит стандартные фильтры безопасности.
Описание
Кампания начинается с платного рекламного объявления в Facebook*. На первый взгляд, эти объявления выглядят легитимными. Зачастую они маскируются под безобидный контент, чтобы гармонично вписаться в ленту пользователя социальной сети. После клика по рекламе запускается трехэтапная схема обмана. Изначальным вектором атаки является спонсируемый пост в Facebook*. Оплачивая размещение, злоумышленники гарантируют, что их вредоносные ссылки появятся в лентах у конкретных целевых аудиторий.
При нажатии на объявление пользователь попадает не сразу на вредоносную страницу. Вместо этого его перенаправляют на сайт-приманку. В данной кампании эта промежуточная страница стилизована под сайт итальянского ресторана. Этот шаг служит буфером, чтобы обойти автоматические сканеры, которые могут заблокировать прямые ссылки на мошеннические ресурсы.
Сайт-приманка автоматически перенаправляет жертву на финальную страницу мошеннической технической поддержки. Эти целевые страницы размещены на облачной инфраструктуре Microsoft Azure, используя структуру доменов *.web.core.windows.net. Размещение мошеннического контента на легитимном сервисе, таком как Azure, добавляет ему ложного доверия и усложняет блокировку на основе доменных имен для систем безопасности.
Инфраструктура и целевая аудитория
Данная кампания отличается высокой активностью и целенаправленно атакует пользователей, находящихся в США. Анализ действий угрозы выявил агрессивную стратегию смены доменных имен в цепочке вредоносной рекламы. Всего за семь дней злоумышленники сменили более 100 уникальных доменов. Интересно, что активность кампании, судя по всему, следует "рабочему графику", сосредотачиваясь преимущественно в будние дни. Это указывает на ручное управление операцией, а не на полностью автоматизированный ботнет.
Использование статического хостинга Azure позволяет злоумышленникам быстро развертывать профессионально выглядящие целевые страницы. Обычно на этих страницах отображаются поддельные системные предупреждения, которые утверждают, что компьютер пользователя заражен вредоносным ПО, и призывают позвонить по фальшивому номеру службы поддержки.
Меры противодействия и рекомендации
Специалистам по информационной безопасности уже удалось заблокировать эту кампанию с помощью комбинации анализа шаблонов URL и сигнатур HTML-кода. Зависимость от субдоменов Azure (web.core.windows.net) в сочетании с определенными скриптами, найденными на целевых страницах, обеспечивает стабильную сигнатуру для обнаружения угрозы.
Пользователям рекомендуется проявлять осторожность при взаимодействии со спонсируемым контентом в социальных сетях. Компаниям следует обновить правила веб-фильтрации, чтобы тщательнее проверять перенаправления, исходящие из рекламы в социальных сетях. Особенно важно отслеживать те ссылки, которые ведут на общие субдомены облачного хостинга. Эксперты подчеркивают, что бдительность и скептический подход к неожиданным предупреждениям в интернете остаются ключевыми методами защиты от подобных социально-инженерных атак.
* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.
Индикаторы компрометации
URLs
- https://www.facebook.com/ads/library/?id=1202995272012769
Domains
- jacquesrocha.z13.web.core.windows.net
- simplydeliciouspairing.com
