Главная страница » Индикаторы компрометации
0
10 часов
Индикаторы компрометации

Pushpaganda: мошенники используют ленты новостей Google для массового обмана пользователей и накрутки рекламы

information security

В цифровой экосистеме, где внимание пользователя стало ключевой валютой, злоумышленники постоянно изобретают новые методы манипуляции. Специалисты группы Satori Threat Intelligence and Research компании HUMAN обнаружили масштабную мошенническую операцию, получившую название Pushpaganda. Эта схема, основанная на социальной инженерии и агрессивном использовании push-уведомлений, не только обманывает пользователей, но и генерирует миллионы недействительных показов рекламы, нанося ущерб всей рекламной индустрии. Её особенностью стало использование персонализированных лент новостей Google Discovery в качестве основного канала для привлечения жертв.

Описание

Операция Pushpaganda представляет собой сложный многоступенчатый процесс, нацеленный на извлечение прибыли за счёт создания искусственного трафика и запугивания пользователей. В её основе лежит сеть из 113 контролируемых злоумышленниками доменов. Контент для этих сайтов, как полагают исследователи, массово генерируется с помощью искусственного интеллекта. Статьи носят сенсационный характер и попадают в несколько категорий, гарантированно привлекающих клики: например, ложные новости о выплатах от налоговых органов или нереалистичные предложения о продаже высокотехнологичных смартфонов по бросовым ценам. Именно этот контент, используя продвинутые SEO-техники или платное размещение, внедряется в ленты Discovery, которые пользователи видят на домашнем экране Android или в пустой вкладке браузера Chrome.

Когда пользователь, заинтересовавшись заголовком, переходит по ссылке, он попадает на один из мошеннических сайтов. Там практически сразу всплывает запрос на разрешение push-уведомлений. Многие соглашаются, желая просто убрать окно или получить доступ к обещанной статье. С этого момента браузер разрешает сайту отправлять уведомления прямо на уровень операционной системы, что позволяет обходить стандартные блокировщики рекламы. Далее начинается фаза прямой манипуляции. Пользователь начинает получать тревожные push-сообщения, никак не связанные с исходным сайтом. Это могут быть фальшивые уведомления о полицейском ордере, пропущенных звонках от родственников или срочных банковских транзакциях - классические приёмы scareware (пугающего программного обеспечения), рассчитанные на мгновенную эмоциональную реакцию и клик.

Кликая по такому уведомлению, жертва попадает на новый мошеннический домен, где цикл часто повторяется, вынуждая подписаться на новые уведомления. При этом, как отмечают исследователи HUMAN, иконки в уведомлениях не соответствуют доменам-отправителям, что дополнительно дезориентирует пользователя. Для искусственного завышения метрик вовлечённости и количества показов рекламы на некоторых сайтах схемы используются обманные элементы интерфейса. Кнопки с призывами вроде "Подать заявку" или "Перейти в WhatsApp" на самом деле с помощью JavaScript перенаправляют пользователя на другие внутренние страницы или домены сети Pushpaganda. Более того, в фоновых вкладках работает специальный алгоритм ротации, который автоматически переключает неактивные окна браузера между различными страницами мошенников, что приводит к дополнительным загрузкам рекламных баннеров и увеличивает видимую длительность сессии, делая трафик более "качественным" в глазах рекламных сетей.

Масштабы операции впечатляют. На пике активности за семидневный период специалисты HUMAN зафиксировали около 240 миллионов бид-реквестов (запросов на показ рекламы), связанных с доменами Pushpaganda. Изначально сфокусированная на пользователях в Индии, кампания расширила географию, затронув аудиторию в Австралии, США и других странах. Важным аспектом угрозы стало также обнаружение использования deepfake-рекламы - сгенерированных искусственным интеллектом изображений и видео с участием известных личностей или медиков, которые призваны эксплуатировать доверие пользователей для повышения эффективности мошеннических объявлений.

После раскрытия схемы исследователи передали Google полный список из 113 доменов. Компания подтвердила, что развернула исправления, чтобы предотвратить появление низкокачественного манипулятивного контента, подобного контенту Pushpaganda, в лентах Discovery пользователей. Для рекламной индустрии основным методом защиты является признание трафика с подобных операций недействительным, поскольку он не отражает реального интереса пользователя, а является результатом социальной инженерии. Клиенты HUMAN, использующие решения Ad Fraud Defense и Ad Click Defense, защищены от финансовых последствий Pushpaganda. Этот инцидент наглядно демонстрирует, как современные злоумышленники комбинируют старые приёмы социальной инженерии с новыми технологиями - от генеративного ИИ до сложных схем манипуляции рекламным трафиком - создавая комплексные угрозы для пользователей и цифровой экономики в целом.

Индикаторы компрометации

Domains

  • 14north108east.com.au
  • acento.in
  • ahmedabadunited.com
  • alakamahabidyalaya.org
  • apacollege.org
  • arariacollege.co.in
  • assamchess.org
  • assessmentsonline.co.za
  • assspratapgarh.org.in
  • basicsteeladelaide.com.au
  • behavioralhealthworkforce.org
  • blackeyetech.in
  • blumonkeybrownhouse.com
  • brokenhillcottages.com.au
  • cisda.org
  • clarkecountypublichealth.org
  • cosmicroots.co.uk
  • crdp.org.in
  • crmcateringcollege.com
  • cwpayrollservices.co.uk
  • dentalimplantkolkata.in
  • dietvpm.org
  • drjitinyadav.com
  • drsanjaylondheortho.in
  • easi.cc
  • ecosikhuk.org
  • englishproject.org
  • enlightexchange.com
  • excellencemedicalclinic.com
  • farsirestaurant.com.au
  • ffesp.org
  • gardn.org.au
  • gitimundlana.org.in
  • governormifflinsd.org
  • harvardglobalcollege.co.za
  • hillcountryweekly.com
  • hodunfarms.com
  • hondasalesspecialist.com
  • hueys.com.au
  • i2apm.org
  • icelondonaestheticsclinic.co.uk
  • iriagujarat.org
  • itsartsafrica.co.za
  • jasminsgranville.com.au
  • jjiaa.org
  • juniperridgeschoolco.org
  • karencann.co.uk
  • khariarautocollege.in
  • kncs.in
  • kupacharity.co.za
  • laposadadelsolsac.com
  • liquordropadelaide.com.au
  • littleearthforestschooliowa.com
  • louisianacomeback.com
  • macgmagazine.com
  • masaonline.org
  • meigsindypress.com
  • mmhca.org
  • motorhomeinsider.com
  • mtwsummit.com
  • mundofitnessnutricion.com
  • mysterydogrescue.org
  • ncpublichealthnursing.org
  • newsfirst.news
  • newsuryapublicschool.in
  • nhcouncilonasd.org
  • northcoastradio104.co.za
  • occasionalsettings.com.au
  • opendatasaveslives.org
  • pacafdivertmarianaseis.com
  • pinecreekpictures.com.au
  • portsunlightresidents.com
  • prakash-college.org.in
  • publishedreporter.com
  • reloadbar.com.au
  • rivercityomaha.com
  • rmcautomotive.co.za
  • rsc2018.co.uk
  • sacreblue.org
  • sahakarvidyamandir.in
  • sangerheights.org
  • santgajananbhaktpariwar.in
  • sdsuvrishikesh.in
  • seemasonline.co.in
  • shastrijimahilavidyaniketan.org
  • skshayerschoolofnursing.com
  • snvglobal.in
  • socohrvp.org
  • sonutradingcompany.co.in
  • srikrnaiducollegeofnursing.org
  • sta-bil.com.au
  • staugustinesprimary.net
  • studentjournalismchallenge.org
  • sydneycameramarket.com.au
  • synergistix.net.au
  • taas.org.in
  • taifujudo.ca
  • thaitan.com.au
  • theacademicnetwork.net
  • theclockdoc.com.au
  • thelifecarehospital.com
  • thousandcankers.com
  • thrillscranton.com
  • timbabuild.com.au
  • triplek.co.za
  • twistarsgymnastics.co.in
  • tyabbfootballnetballclub.com.au
  • tyreworld.co.in
  • ucsportsnation.com
  • vacuumpouch.in
  • veteransday-mobilebay.com
  • wyd2022.ca
  • yourhealthydrinks.com
Комментарии: 0
Похожие записи
0
15.07.2022
Индикаторы компрометации

[GS-002] Agent Tesla Spyware IOCs

Stealer
Agent Tesla - это программа-шпион, которая собирает информацию о действиях своих жертв путем записи нажатий клавиш и взаимодействия с пользователем. На специализированном сайте, где продается эта вредоносная