Receta para el éxito cibercriminal: los estafadores de asistencia técnica se centran en la búsqueda pagada

Los estafadores de soporte técnico son conocidos por participar en un juego de locos con defensores. Por ejemplo , el mes pasado hubo informes de que los delincuentes habían invadido Microsoft Azure Cloud Services para alojar páginas de advertencia falsas, también conocidas como bloqueadores de navegadores. En este blog, echamos un vistazo a una de las principales campañas que es responsable de dirigir el tráfico a esas páginas scareware alojadas en Azure.

Descubrimos que los estafadores han estado comprando anuncios que se muestran en los principales portales de Internet para dirigirse a un grupo demográfico más antiguo. De hecho, estaban usando resultados de búsqueda pagados para dirigir el tráfico hacia blogs de señuelos que redirigirían a las víctimas a una página de bloqueo de cejas.

Este esquema ha estado funcionando durante meses y se ha intensificado recientemente, manteniendo al mismo tiempo el mismo modus operandi. Aunque no son demasiado sofisticados, los actores de amenazas detrás de esto han podido abusar de las principales plataformas publicitarias y los proveedores de alojamiento durante varios meses.

Aprovechamiento de resultados de búsqueda pagados

Las estafas de soporte técnico se distribuyen normalmente a través de campañas de publicidad maliciosa. El tráfico de adultos baratos suele ser el primero en la lista para muchos grupos de estafadores. No solo es rentable, sino que también contribuye a la psicología de los usuarios que creen que se infectaron después de visitar un sitio web poco fiable.

Otras veces, vemos a los estafadores apuntando activamente a las marcas al tratar de hacerse pasar por ellas. La idea es atraer a las víctimas que buscan apoyo con un producto o servicio en particular. Sin embargo, en esta campaña en particular, los delincuentes se dirigen a personas que buscan recetas de comida.

Hay dos tipos de resultados de una página de resultados del motor de búsqueda (SERP):

Resultados de búsqueda orgánicos que coinciden con la consulta de búsqueda del usuario en función de la relevancia. Los sitios que figuran en la lista superior suelen ser los que tienen la mejor optimización de motores de búsqueda (SEO).
Resultados de búsqueda pagados, que son básicamente anuncios relevantes para la consulta del usuario. Requieren un presupuesto determinado donde no todas las palabras clave tienen el mismo costo.

Debido a que los resultados de búsqueda pagados generalmente se muestran en la parte superior (a menudo combinados con los resultados de búsqueda orgánicos), tienden a generar más clics.

Buscamos varias recetas en varios portales web diferentes (CenturyLink, Att.net, Yahoo! search y xfinity) y pudimos encontrar fácilmente los anuncios comprados por los estafadores.

No tenemos métricas exactas sobre cuántas personas hicieron clic en esos anuncios, pero podemos inferir que esta campaña atrajo una cantidad significativa de tráfico en función de dos indicadores: el primero es nuestra propia telemetría y el segundo de un acortador de URL utilizado por uno de los sitios web:

Si bien esos anuncios son típicos y coinciden bastante bien con nuestra búsqueda de palabras clave, en realidad se redirigen a sitios web creados con intenciones maliciosas.

Sitios web de señuelos

Para apoyar su plan, los estafadores han creado una serie de blogs relacionados con los alimentos. El contenido parece ser genuino, e incluso hay algunos comentarios sobre muchos de los artículos.

Sin embargo, tras una inspección más cercana, podemos ver que esos sitios básicamente han tomado contenido de varios sitios de desarrolladores web que ofrecen plantillas HTML gratuitas o de pago. “<! – Mirrored from …” es un artefacto dejado por la herramienta de copiadora del sitio web de HTTrack . Incidentalmente, este tipo de reflejo es algo que a menudo presenciamos cuando se trata de páginas de bloqueo de navegador que se han copiado de otros sitios.

Durante nuestras pruebas, visitar esos sitios directamente no generó ningún redireccionamiento malicioso, y parecían ser absolutamente benignos. Con solo pruebas circunstanciales y sin la llamada pistola humeante, todavía no se pudo establecer un caso.

Cadena de infección completa

Después de algunas pruebas y errores que incluyeron el intercambio de varias cadenas de Usuario-Agente y evitar el uso de VPN comerciales, finalmente pudimos reproducir una cadena de infección completa, desde el anuncio original hasta la página de bloqueo del navegador.

La URL del blog se llama tres veces consecutivas, y la última realiza una solicitud POST con el eventual redireccionamiento condicional al bloqueo de cejas. En la captura de pantalla a continuación, puede ver la diferencia entre el encubrimiento adecuado (sin comportamiento malicioso) y la redirección a una página de bloqueo de cejas:

Página de browlock

La página de advertencia falsa es bastante estándar. Comprueba el tipo de navegador y sistema operativo para mostrar la plantilla adecuada para las víctimas de Windows y Mac OS.

Los estafadores a menudo registran rangos completos de nombres de host en Azure mediante iteraciones a través de números adjuntos a cadenas aleatorias. Si bien muchas de esas páginas se bajan rápidamente, las nuevas se están recuperando constantemente para mantener la campaña en marcha. Aquí hay algunos patrones de URI que observamos:

10-server [.] Azurewebsites [.] Net / call-now1 /
2securityxew-561error [.] Azurewebsites [.] Net / Call-Now1 /
10serverloadingfailed-hgdfc777error [.] Azurewebsites [.] Net / chx /
11iohhwwwefefuown. azurewebsites [.] net / Call-Support1 /
11serversecurityjunkfile-65error [.] azurewebsites [.] net / Call-Mac-Support /
2serverdatacrash-de-12error [.] azurewebsites [.] net / mac /
2systemservertemporaryblockghjccccc- azurewebsites [.] net / mac-support /

Creemos que los delincuentes también pueden estar rotando el sitio de señuelo que realiza la redirección además del filtrado de usuario existente para evitar la detección de los escáneres de seguridad.

Encontrar a los perpetradores

No aprobamos la interacción directa con los estafadores, pero parte de esta investigación fue sobre quién estaba detrás de esta campaña para tomar medidas y evitar más víctimas.

Para continuar con el engaño, los técnicos deshonestos nos mintieron sobre el estado de nuestra computadora e inventaron amenazas imaginarias. El objetivo era vender paquetes de soporte costosos que en realidad agregan poco valor.

La empresa que vende esos servicios es A2Z Cleaner Pro (también conocida como Coretel Communications) y una víctima la identificó previamente en agosto de 2018 en un comentario de blog en el sitio web de la FTC.

Su sitio web está alojado en 198.57.219.8, donde encontramos otros dos artefactos interesantes. La primera es una compañía llamada CoreTel que también es utilizada por los estafadores como una especie de entidad comercial. Parece ser una estafa de otro dominio que ya existía por varios años y también alojado en la misma dirección de IP:

Y luego, hay dos nuevos sitios de recetas que se registraron en junio y, al igual que en los anteriores, también usan contenido copiado de otros lugares:

Mitigación y derribo.

La extensión del navegador de Malwarebytes ya estaba bloqueando heurísticamente las diversas páginas de bloqueo de cejas.

Inmediatamente informamos los anuncios fraudulentos a Google y Microsoft (Bing), así como los blogs de señuelos a GoDaddy. La mayoría de sus dominios ya han sido eliminados y sus campañas publicitarias han sido prohibidas.

Esta campaña de estafa de soporte técnico se dirigió hábilmente a un segmento mayor de la población mediante el uso de resultados de búsqueda pagados para recetas de alimentos a través de portales en línea utilizados por muchos proveedores de servicios de Internet.

No hay duda de que los estafadores continuarán abusando de las plataformas publicitarias y los proveedores de alojamiento para llevar a cabo su negocio. Sin embargo, la cooperación de la industria para los derribos puede retrasarlos y evitar que miles de víctimas sean defraudadas.

Indicadores de compromiso

Blogs de señuelos

alhotcake [.] com
bestrecipesus [.] com
cheforrecipes [.] com
chilly-recipesfood [.] com
cookwellrecipes [.] com
dezirerecipes [.] com
dinnerplusrecipes [.] com
dinnerrecipiesforu.com
handmaderecipies [com]
homecookedrecipe [.] com
hotandsweetrecipe [.] com
just-freshrecipes [.] com
lunch-recipesstore [.] com
mexirecipes [.] com
neelamrecipes [.] com
nidhikitchenrecipes [.] com
organicrecipesandfood [.] com
recipes4store [.] com
recipestores [.] com
royalwarerecipes [.] com
smokyrecipe [.] com
specialsweetrecipes [.] com
starcooking [.] starrecipies del club
[.] com
sweethomemadefoods [.] com
tatesty-recetas [.] com
today4recipes [.] com
tophighrecipes [.] com
toptipsknowledge [.] com
totalspicyrecipes [.] com
vegfood-recetas [.] com
yammy-recetas [.] com
handmaderecipies [.] com
homecookedrecipe [.] com
com hotandsweetrecipe [.]
just-freshrecipes [.] com
almuerzo-recipesstore [.] com
mexirecipes [.] com
neelamrecipes [.] com
nidhikitchenrecipes [.] com
organicrecipesandfood [.] com
recipes4store [.] com
recipestores [.] com
royalwarerecipes [.] com
smokyrecipe [.] com
specialsweetrecipes [.] com
starcooking [.] starrecipies club
[.] com
sweethomemadefoods [.] com
tatesty-recetas [.] com
today4recipes [.] com
tophighrecipes [.] com
toptipsknowledge [.] com
totalspicyrecipes [.] com
vegfood-recipes [.] com
yammy-recetas [.] com
healthycookingidea [.] com
recipesstudios [.] com

a2zpcprotection [.] com
a2zcleanerpro [.] com

Regex para que coincida con las URI de browlock en Azure

^ http (s |): \ / \ / (?! www) ^. {2} [az] {2,7} \ / ([cC] all – ([nN] ow | Support) 1 | chx | macx | (Call -)? [MM] ac- [sS] upport)

Receta para el éxito cibercriminal: los estafadores de asistencia técnica se centran en la búsqueda pagada

Receta para el éxito cibercriminal: los estafadores de asistencia técnica se centran en la búsqueda pagada

Receta para el éxito: los estafadores de asistencia técnica se centran en la búsqueda pagada