Клик до ловушки: как мошенники используют блоги для кражи данных
ApateWeb – цифровой хаос, который угрожает каждому пользователю соцсетей.
Сетевые мошенники вновь активизировались, используя платформу Blogspot для распространения вредоносных ссылок. Эти ссылки, замаскированные под тематически подходящие публикации, перенаправляют жертв на фишинговые сайты, загрузку вредоносное ПО или страницы с рекламным мошенничеством.
Предварительный просмотр таких ссылок выглядит легитимным, поэтому у пользователей не возникает сомнений. Уникальность ситуации заключается в том, что жертвы легко могут попасть в ловушку благодаря правдоподобной предварительной настройке ссылок через метатеги соцсетей.
В ходе расследования один из таких ресурсов, размещённых на Blogspot, вел на фишинговую страницу, имитирующую техподдержку Windows. Анализ сайта показал использование JavaScript-кода для перенаправления в зависимости от операционной системы пользователя. Примечательно, что злоумышленники применяли поддомены Azure, злоупотребляя репутацией Microsoft для обхода спам-фильтров.
Одним из инструментов расследования стало применение командной строки для извлечения содержимого страниц. Для скрытия своих действий злоумышленники применяют различные техники, включая обфускацию, внедрение скрытых редиректов и блокировку доступа через VPN. Дополнительным методом маскировки стало использование фальшивых CAPTCHA и видеоплееров, призывающих установить якобы необходимое ПО. Более того, некоторые сайты адаптируют интерфейс под язык пользователя, увеличивая вероятность нажатия на вредоносную ссылку.
Распределение вредоносных ссылок происходит через более 130 000 доменов, задействованных в кампании ApateWeb, ранее идентифицированной специалистами. Значимым открытием стали домены управления, которые динамически перенаправляют пользователей на мошеннические сайты. Интересной особенностью стали ответы Empty OK, возвращаемые некоторыми доменами для обхода блокировок.
Проведённый анализ позволил не только подтвердить активность ApateWeb, но и расширить список используемых доменов, которые теперь доступны для блокировки в Open Threat Exchange (OTX). Информация о вредоносных перенаправлениях и связанных с ними сайтов также была добавлена в коллекции, чтобы помочь другим специалистам по безопасности.