تؤدي إعلانات Facebook إلى مواقع ويب مزيفة تسرق معلومات بطاقة الائتمان
يعد مستخدمو Facebook هدفًا لشبكة تجارة إلكترونية احتيالية تستخدم المئات من مواقع الويب المزيفة لسرقة البيانات الشخصية والمالية باستخدام انتحال هوية العلامة التجارية والحيل الإعلانية الضارة.
أطلق فريق استخبارات الاحتيال في الدفع في Recorded Future، الذي اكتشف الحملة في 17 أبريل 2024، اسم ERIAKOS نظرًا لاستخدام نفس شبكة توصيل المحتوى (CDN) oss.eriakos[.]com.
وقالت الشركة: “لم يكن من الممكن الوصول إلى هذه المواقع الاحتيالية إلا من خلال الأجهزة المحمولة والإغراءات الإعلانية، وهو تكتيك يهدف إلى التهرب من أنظمة الكشف الآلية”. قالمشيرة إلى أن الشبكة تضم 608 مواقع احتيالية وأن النشاط يمتد لعدة موجات قصيرة الأجل.
أحد الجوانب البارزة في الحملة المتطورة هو أنها استهدفت حصريًا مستخدمي الهواتف المحمولة الذين وصلوا إلى مواقع الاحتيال عبر إغراءات الإعلانات على فيسبوك، والتي اعتمد بعضها على خصومات لفترة محدودة لإغراء المستخدمين بالنقر عليها. قالت شركة Recorded Future إنه يتم تقديم ما يصل إلى 100 إعلان تعريفي مرتبط بموقع ويب احتيالي واحد في يوم واحد.
تم اكتشاف أن مواقع الويب والإعلانات المزيفة تنتحل بشكل أساسي صفة منصة رئيسية للتجارة الإلكترونية عبر الإنترنت وشركة مصنعة للأدوات الكهربائية، بالإضافة إلى استهداف الضحايا بعروض مبيعات زائفة لمنتجات من مختلف العلامات التجارية المعروفة. تتضمن آلية التوزيع الحاسمة الأخرى استخدام تعليقات المستخدمين المزيفة على فيسبوك لجذب الضحايا المحتملين.
وأشار موقع Recorded Future إلى أن “حسابات التجار والمجالات ذات الصلة المرتبطة بمواقع الاحتيال مسجلة في الصين، مما يشير إلى أن الجهات الفاعلة التهديدية التي تدير هذه الحملة من المحتمل أن تكون قد أنشأت الأعمال التي تستخدمها لإدارة حسابات التجار الاحتيالية في الصين”.
هذه ليست المرة الأولى شبكات التجارة الإلكترونية الإجرامية ظهرت بهدف جمع معلومات بطاقة الائتمان وتحقيق أرباح غير مشروعة من الطلبات المزيفة. في مايو 2024، تم اكتشاف شبكة ضخمة مكونة من 75000 متجر زائف عبر الإنترنت – أُطلق عليها اسم BogusBazaar – اكتشف أنه حقق أكثر من 50 مليون دولار من خلال الإعلان عن الأحذية والملابس من علامات تجارية معروفة وبأسعار منخفضة.
ثم في الشهر الماضي، كشفت شركة Orange Cyberdefense عن نظام توجيه حركة مرور غير موثق سابقًا (TDS) يُسمى R0bl0ch0n TDS يُستخدم للترويج لعمليات الاحتيال التسويقية التابعة من خلال شبكة من المتاجر المزيفة ومواقع استطلاعات اليانصيب بهدف الحصول على معلومات بطاقة الائتمان.
“يتم استخدام عدة نواقل مختلفة للنشر الأولي لعناوين URL التي تعيد التوجيه من خلال R0bl0ch0n TDS، مما يشير إلى أنه من المحتمل أن يتم تنفيذ هذه الحملات من قبل شركات تابعة مختلفة،” الباحث الأمني سيمون فيرنين قال.
ويأتي هذا التطوير مع ظهور إعلانات Google المزيفة عند البحث عن Google Authenticator على محرك البحث لاحظ إعادة توجيه المستخدمين إلى موقع مارق (“chromeweb-authenticators[.]com”) الذي يوفر ملفًا قابلاً للتنفيذ لنظام Windows مستضافًا على GitHub، والذي يسقط في النهاية سارق المعلومات المسمى DeerStealer.
ما يجعل الإعلانات تبدو مشروعة هو أنها تظهر كما لو كانت من “google.com” ويتم التحقق من هوية المعلن بواسطة Google، وفقًا لما ذكرته Malwarebytes، التي قالت “تمكن شخص غير معروف من انتحال شخصية Google ودفع بنجاح برامج ضارة متنكرة على شكل منتج يحمل علامة Google التجارية أيضًا.”
كما تم رصد حملات إعلانية ضارة تنشر العديد من عائلات البرامج الضارة الأخرى مثل سوكغوليش (ويعرف أيضًا باسم FakeUpdates)، وMadMxShell، وWorkersDevBackdoor، حيث كشفت Malwarebytes عن تداخلات في البنية التحتية بين الأخيرين، مما يشير إلى أنه من المحتمل أن يتم تشغيلهما من قبل نفس الجهات الفاعلة في مجال التهديد.
علاوة على ذلك، تم استخدام إعلانات Angry IP Scanner لجذب المستخدمين إلى مواقع الويب المزيفة، وعنوان البريد الإلكتروني “goodgoo1ge@protonmail”[.]com” لتسجيل النطاقات التي تقدم كلاً من MadMxShell وWorkersDevBackdoor.
وقال الباحث الأمني جيروم سيجورا: “تتمتع حمولتا البرمجيات الخبيثة بالقدرة على جمع وسرقة البيانات الحساسة، فضلاً عن توفير مسار دخول مباشر لوسطاء الوصول الأولي المشاركين في نشر برامج الفدية”. قال.
إرسال التعليق