56A7D9DE4EA7DACC677A9244A49FEE38 " />
Overblog
Edit post Seguir este blog Administration + Create my blog

Navegación segura Scam: Desde Amazon para Rackspace

por Bienvenidos a Portal Tecnologico 2 Enero 2016, 09:24 malwares publicidad maliciosa sitios web falsos malwarebytes blog

Los Estafadores de soporte técnico son un tipo muy particular de los delincuentes en línea que tradicionalmente nunca fueron tan sofisticados como los autores de malware. En su mayor parte, que realmente no tienen que ser ya que incluso una página web junto miedo poner rápidamente con un poco de audio de fondo sería suficiente para con las víctimas.

Si bien este negocio sucio estaba mal organizado en un principio, en los últimos años las cosas empezaron a ponerse en forma y un fuerte modelo de afiliación florecieron a través de publicidad maliciosa. Miles de sitios web con advertencias falsas se basan en tácticas de miedo para impulsar las derivaciones (víctimas) en los centros de llamadas de soporte técnico con sombra para extorsionar a su dinero.

Uno de los mejores y más elusivos afiliados a la fecha se ha causando estragos en Amazon Web Services (AWS) durante varios meses utilizando el Google  plantilla de navegación segura y disfrutando de la Amazon Elastic Compute Cloud (EC2).

La infraestructura de nube era perfecto para un juego de golpe-a-mole donde miles de dominios y subdominios sobre cómo cambiar rápidamente direcciones IP dejan investigadores de seguridad frustrados mientras que la presentación innumerables reportes de abuso.

Este ladrón estaba teniendo claramente divertido recogiendo varios nombres de dominio ajustada a su estado de ánimo, así como caer en varios mensajes condescendientes en las páginas de estafa.

  • allyouneedistocallsupportnow.com
  • onthehotlinetechsupport.com
  • swiperighttechsupportcalls.com
  • swipeleftforvirusesonyourcomputer.com
  • callasaptechsupport.com
  • ilove-mytechsupport-service247.com
  • dontrefusetechsupport.com
  • techsupportblingline.com
...

monstruos

La mayoría de estas páginas fueron empujados a través de publicidad maliciosa y esta actividad alcanzó su punto máximo durante el otoño.

CARNÉ DE IDENTIDAD

Este actor utilizaba un gran número de subdominios para cada dominio malicioso, una técnica observada comúnmente en ataques drive-by download y explotar kits:

  • 2h4x1u6 .trapqueen-BrowserLock-callsupport.com
  • iq8cce .trapqueen-BrowserLock-callsupport.com
  • ghse4l .trapqueen-BrowserLock-callsupport.com
  • ch2au7 .trapqueen-BrowserLock-callsupport.com
  • hoj6yi .trapqueen-BrowserLock-callsupport.com
  • ci94z4 .trapqueen-BrowserLock-callsupport.com
  • omohcm .trapqueen-BrowserLock-callsupport.com
  • 6lsryl .trapqueen-BrowserLock-callsupport.com
  • flg42b .trapqueen-BrowserLock-callsupport.com
  • 956eo7 .trapqueen-BrowserLock-callsupport.com
  • qjq3ud .trapqueen-BrowserLock-callsupport.com

Él también estaba cambiando direcciones IP a través de diversas instancias de Amazon EC2, haciendo el proceso de bloqueo de cada página estafa mucho más difícil.

informes

Los origenes

La estafa de Navegación segura puede haber comenzado en torno a mayo 2015, con  fix-my-system.com (un dominio registrado en  05/15/2015) como se muestra a continuación en una pantalla  el 20 de mayo (cortesía de laWayback Machine).

camino de vuelta

Si se compara el logotipo de cruz usado en Amazon y fix-my-system.com, te das cuenta que son el mismo archivo.Al extraer los metadatos del JPEG, muestra que la imagen fue creada el 14 de mayo, un día antes de  fix-my-system.com  se registró.

  • s3. amazonaws.com / lp3cloudfront / cross.jpg
  • fix-my-system.com / images / cross.jpg

pic_timestamp

Había tal vez otras páginas de estafa similares flotando alrededor durante el mes de mayo. El mismo Google Analytics ID (UA-61342480-1) el estafador utiliza para realizar un seguimiento de las estadísticas durante la campaña AWS, se utilizó por primera vez en  browsererror.co (registrada el 13 de mayo) y documentado en este cromo hilo.

Desde Amazon para Rackspace

Extrañamente, dejamos de ver a esta campaña en particular en torno a finales de noviembre / principios de diciembre, por lo menos a través de los mecanismos de entrega tradicionales.

Al mismo tiempo, empezamos a notar las páginas de estafa con una mirada inquietantemente familiar, excepto que no se alojan en AWS. Estos seres han estado tomando raíz en otro proveedor de la nube grande, Rackspace a través de la Akamai Content Delivery Network (CDN):

rackspace_tech_support_scam

Éstos son algunos de los URLs / patrones:

  • 95ccbf2c6aa83a62ca98-6399769d9a9323967bd9509bf8913be4.r68.cf2.rackcdn.com/index.html
  • 2e6cce8d37e55a52fdbd-99308430c4fad7ba45f55e863183e59a.r58.cf1.rackcdn.com/index.html
  • 82b379980e1e684f6a37-f44861df22a3cd4eba5cb48c72143e81.r69.cf2.rackcdn.com/index.html
  • 188b8b6393dda1198fbe-0655d317fddd23f8d16491c908ad7a25.r77.cf2.rackcdn.com/index.html
  • 81588c665c25cdb253f6-9602d6b2c454e8db39045981b1517c02.r78.cf1.rackcdn.com/index.html
  • a5038237257bb0902ab6-1a5f1e0504c9e24f23b040bfb665316e.r34.cf1.rackcdn.com/index.html
  • 879a9c84f5d91707643f-458421ed91a4e295ba8ce97333c32837.r55.cf2.rackcdn.com/index.html

Direcciones IP (no muy útil, ya que es un CDN):

  • 63.144.17.66
  • 63.144.17.17
  • 63.144.17.88
  • 63.144.17.58
  • 63.144.17.34
  • 207.228.83.56
  • 207.228.83.51

Código fuente de la página es muy similar a la original.

comparación

La imagen que representa la X en la parte superior de la página es exactamente el mismo, así (mismos metadatos también):

  • da6a0dc8349026d5c07d-cc1abd3d110d027f7f34188fa53a4ad8.r8.cf2. rackcdn.com / cross.jpg

Otro elemento interesante cuando se mira en los sitios web de vecinos utilizados por los ladrones en el modelo original AWS fue la presencia de nombres de dominio que anuncian sorteos iPhone y otras estafas.

Este parece ser el caso en Rackspace así:

nslookup

Es posible que esto es un actor diferente simplemente copiando el trabajo previo (estafadores soporte técnico son conocidos por robar unos de otros, utilizando el programa web copiadora populares HTTrack).

En cualquier caso, esto significa que la lucha contra los estafadores de soporte técnico continúa en un campo de batalla diferente. Ya hemos informado de esta campaña en particular a Rackspace para derribo y mantendremos el seguimiento a ver a dónde va el próximo.

Malwarebytes Anti-Malware premium usuarios están protegidos contra muchas de estas páginas fraudulentas gracias a nuestros sitios maliciosos que bloquean la tecnología. La mejor defensa contra las estafas de soporte técnico sigue siendo la conciencia y el sentido común.

                                                                                                      Fuente:blog.malwarebytes.org

Para estar informado de los últimos artículos, suscríbase:
Comentarios

Ir arriba