Navegación segura Scam: Desde Amazon para Rackspace
Los Estafadores de soporte técnico son un tipo muy particular de los delincuentes en línea que tradicionalmente nunca fueron tan sofisticados como los autores de malware. En su mayor parte, que realmente no tienen que ser ya que incluso una página web junto miedo poner rápidamente con un poco de audio de fondo sería suficiente para con las víctimas.
Si bien este negocio sucio estaba mal organizado en un principio, en los últimos años las cosas empezaron a ponerse en forma y un fuerte modelo de afiliación florecieron a través de publicidad maliciosa. Miles de sitios web con advertencias falsas se basan en tácticas de miedo para impulsar las derivaciones (víctimas) en los centros de llamadas de soporte técnico con sombra para extorsionar a su dinero.
Uno de los mejores y más elusivos afiliados a la fecha se ha causando estragos en Amazon Web Services (AWS) durante varios meses utilizando el Google plantilla de navegación segura y disfrutando de la Amazon Elastic Compute Cloud (EC2).
La infraestructura de nube era perfecto para un juego de golpe-a-mole donde miles de dominios y subdominios sobre cómo cambiar rápidamente direcciones IP dejan investigadores de seguridad frustrados mientras que la presentación innumerables reportes de abuso.
Este ladrón estaba teniendo claramente divertido recogiendo varios nombres de dominio ajustada a su estado de ánimo, así como caer en varios mensajes condescendientes en las páginas de estafa.
- allyouneedistocallsupportnow.com
- onthehotlinetechsupport.com
- swiperighttechsupportcalls.com
- swipeleftforvirusesonyourcomputer.com
- callasaptechsupport.com
- ilove-mytechsupport-service247.com
- dontrefusetechsupport.com
- techsupportblingline.com
La mayoría de estas páginas fueron empujados a través de publicidad maliciosa y esta actividad alcanzó su punto máximo durante el otoño.
Este actor utilizaba un gran número de subdominios para cada dominio malicioso, una técnica observada comúnmente en ataques drive-by download y explotar kits:
- 2h4x1u6 .trapqueen-BrowserLock-callsupport.com
- iq8cce .trapqueen-BrowserLock-callsupport.com
- ghse4l .trapqueen-BrowserLock-callsupport.com
- ch2au7 .trapqueen-BrowserLock-callsupport.com
- hoj6yi .trapqueen-BrowserLock-callsupport.com
- ci94z4 .trapqueen-BrowserLock-callsupport.com
- omohcm .trapqueen-BrowserLock-callsupport.com
- 6lsryl .trapqueen-BrowserLock-callsupport.com
- flg42b .trapqueen-BrowserLock-callsupport.com
- 956eo7 .trapqueen-BrowserLock-callsupport.com
- qjq3ud .trapqueen-BrowserLock-callsupport.com
Él también estaba cambiando direcciones IP a través de diversas instancias de Amazon EC2, haciendo el proceso de bloqueo de cada página estafa mucho más difícil.
Los origenes
La estafa de Navegación segura puede haber comenzado en torno a mayo 2015, con fix-my-system.com (un dominio registrado en 05/15/2015) como se muestra a continuación en una pantalla el 20 de mayo (cortesía de laWayback Machine).
Si se compara el logotipo de cruz usado en Amazon y fix-my-system.com, te das cuenta que son el mismo archivo.Al extraer los metadatos del JPEG, muestra que la imagen fue creada el 14 de mayo, un día antes de fix-my-system.com se registró.
- s3. amazonaws.com / lp3cloudfront / cross.jpg
- fix-my-system.com / images / cross.jpg
Había tal vez otras páginas de estafa similares flotando alrededor durante el mes de mayo. El mismo Google Analytics ID (UA-61342480-1) el estafador utiliza para realizar un seguimiento de las estadísticas durante la campaña AWS, se utilizó por primera vez en browsererror.co (registrada el 13 de mayo) y documentado en este cromo hilo.
Desde Amazon para Rackspace
Extrañamente, dejamos de ver a esta campaña en particular en torno a finales de noviembre / principios de diciembre, por lo menos a través de los mecanismos de entrega tradicionales.
Al mismo tiempo, empezamos a notar las páginas de estafa con una mirada inquietantemente familiar, excepto que no se alojan en AWS. Estos seres han estado tomando raíz en otro proveedor de la nube grande, Rackspace a través de la Akamai Content Delivery Network (CDN):
Éstos son algunos de los URLs / patrones:
- 95ccbf2c6aa83a62ca98-6399769d9a9323967bd9509bf8913be4.r68.cf2.rackcdn.com/index.html
- 2e6cce8d37e55a52fdbd-99308430c4fad7ba45f55e863183e59a.r58.cf1.rackcdn.com/index.html
- 82b379980e1e684f6a37-f44861df22a3cd4eba5cb48c72143e81.r69.cf2.rackcdn.com/index.html
- 188b8b6393dda1198fbe-0655d317fddd23f8d16491c908ad7a25.r77.cf2.rackcdn.com/index.html
- 81588c665c25cdb253f6-9602d6b2c454e8db39045981b1517c02.r78.cf1.rackcdn.com/index.html
- a5038237257bb0902ab6-1a5f1e0504c9e24f23b040bfb665316e.r34.cf1.rackcdn.com/index.html
- 879a9c84f5d91707643f-458421ed91a4e295ba8ce97333c32837.r55.cf2.rackcdn.com/index.html
Direcciones IP (no muy útil, ya que es un CDN):
- 63.144.17.66
- 63.144.17.17
- 63.144.17.88
- 63.144.17.58
- 63.144.17.34
- 207.228.83.56
- 207.228.83.51
Código fuente de la página es muy similar a la original.
La imagen que representa la X en la parte superior de la página es exactamente el mismo, así (mismos metadatos también):
- da6a0dc8349026d5c07d-cc1abd3d110d027f7f34188fa53a4ad8.r8.cf2. rackcdn.com / cross.jpg
Otro elemento interesante cuando se mira en los sitios web de vecinos utilizados por los ladrones en el modelo original AWS fue la presencia de nombres de dominio que anuncian sorteos iPhone y otras estafas.
Este parece ser el caso en Rackspace así:
Es posible que esto es un actor diferente simplemente copiando el trabajo previo (estafadores soporte técnico son conocidos por robar unos de otros, utilizando el programa web copiadora populares HTTrack).
En cualquier caso, esto significa que la lucha contra los estafadores de soporte técnico continúa en un campo de batalla diferente. Ya hemos informado de esta campaña en particular a Rackspace para derribo y mantendremos el seguimiento a ver a dónde va el próximo.
Malwarebytes Anti-Malware premium usuarios están protegidos contra muchas de estas páginas fraudulentas gracias a nuestros sitios maliciosos que bloquean la tecnología. La mejor defensa contra las estafas de soporte técnico sigue siendo la conciencia y el sentido común.
Fuente:blog.malwarebytes.org