Usuários do Facebook são alvo de uma rede de e-commerce fraudulenta que utiliza centenas de sites falsos para roubar dados pessoais e financeiros, utilizando técnicas de brand impersonation e malvertising.
A equipe de Payment Fraud Intelligence da Recorded Future, que detectou a campanha em 17 de abril de 2024, nomeou-a de ERIAKOS devido ao uso da mesma rede de distribuição de conteúdo (CDN) oss.eriakos[.]com.
"Esses sites fraudulentos eram acessíveis apenas por dispositivos móveis e através de anúncios, uma tática destinada a evitar sistemas de detecção automáticos", disse a empresa, observando que a rede compreendia 608 sites fraudulentos e que a atividade se estendia por várias ondas de curta duração.
Um aspecto notável da campanha sofisticada é que ela visava exclusivamente usuários móveis que acessavam os sites fraudulentos através de anúncios no Facebook, alguns dos quais dependiam de descontos por tempo limitado para atrair usuários a clicarem neles.
A Recorded Future disse que até 100 Meta Ads relacionados a um único site fraudulento são exibidos em um dia.
Os sites e anúncios falsificados foram encontrados principalmente imitando uma grande plataforma de e-commerce online e um fabricante de ferramentas elétricas, além de visar vítimas com ofertas de vendas falsas de produtos de várias marcas conhecidas.
Outro mecanismo crucial de distribuição inclui o uso de comentários falsos de usuários no Facebook para atrair vítimas em potencial.
"Contas de comerciantes e domínios relacionados aos sites fraudulentos são registrados na China, indicando que os atores da ameaça operando esta campanha provavelmente estabeleceram o negócio que usam para gerenciar as contas de comerciantes fraudulentos na China", observou a Recorded Future.
Esta não é a primeira vez que redes criminosas de e-commerce surgem com o objetivo de coletar informações de cartão de crédito e obter lucros ilícitos de pedidos falsos.
Em maio de 2024, uma enorme rede de 75.000 lojas online falsas - apelidada de BogusBazaar - foi descoberta por ter lucrado mais de $50 milhões anunciando sapatos e vestuário de marcas conhecidas a preços baixos.
No mês passado, a Orange Cyberdefense revelou um sistema de direcionamento de tráfego (TDS) anteriormente não documentado chamado R0bl0ch0n TDS que é usado para promover golpes de marketing afiliado por meio de uma rede de sites falsos de lojas e pesquisas de sorteios com o objetivo de obter informações de cartão de crédito.
"Vários vetores distintos são utilizados para a disseminação inicial das URLs que redirecionam através do R0bl0ch0n TDS, indicando que essas campanhas são provavelmente realizadas por diferentes afiliadas", disse o pesquisador de segurança Simon Vernin.
O desenvolvimento ocorre enquanto anúncios falsos do Google, exibidos ao procurar pelo Google Authenticator no motor de busca, foram observados redirecionando usuários para um site fraudulento ("chromeweb-authenticators[.]com") que entrega um executável do Windows hospedado no GitHub, que finalmente instala um malware chamado DeerStealer.
O que faz os anúncios parecerem legítimos é que eles aparecem como se fossem de "google.com" e a identidade do anunciante é verificada pelo Google, de acordo com a Malwarebytes, que disse "algum indivíduo desconhecido conseguiu se passar pelo Google e promover com sucesso malware disfarçado como um produto Google autêntico".
Campanhas de malvertising também foram identificadas disseminando várias outras famílias de malware como SocGholish (também conhecido como FakeUpdates), MadMxShell e WorkersDevBackdoor, com a Malwarebytes descobrindo sobreposições de infraestrutura entre os dois últimos, indicando que eles provavelmente são operados pelos mesmos atores de ameaças.
Além disso, anúncios para Angry IP Scanner foram usados para atrair usuários para sites falsos, e o endereço de e-mail "goodgoo1ge@protonmail[.]com" foi utilizado para registrar domínios que entregam tanto MadMxShell quanto WorkersDevBackdoor.
"Ambas os payloads de malware têm a capacidade de coletar e roubar dados sensíveis, bem como fornecer um caminho de entrada direta para corretores de acesso inicial envolvidos no lançamento de ransomware", disse o pesquisador de segurança Jerome Segura.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...