Investigadores de ciberseguridad han revelado detalles de actividades fraudulentas dirigidas a usuarios de todo Oriente Medio y el Norte de África mediante el empleo de varias cuentas fraudulentas de Facebook que se hacen pasar por políticos, figuras públicas y organizaciones de confianza.
“Estas cuentas promovían ofertas falsas, incluidos paquetes gratuitos de Internet móvil, compensaciones financieras y programas de subsidios gubernamentales”, dijeron los analistas de Group-IB Anna Yurtaeva y Viacheslav Shevchenko.
“Se animaba a las víctimas a hacer clic en enlaces integrados para reclamar los beneficios anunciados, pero en lugar de ello eran redirigidas a través de una cadena de sitios web intermediarios que, en última instancia, conducían al phishing y a la infraestructura de monetización del tráfico”.
La empresa de ciberseguridad con sede en Singapur dirige estas campañas a Sniper Dz, una plataforma llave en mano de phishing como servicio (PhaaS) que fue desmantelada el mes pasado en una operación dirigida por INTERPOL. Los hallazgos indican que la plataforma va más allá de facilitar el robo de credenciales, generando ingresos ilícitos a través del abuso de notificaciones en el navegador, suscripciones premium de SMS, llamadas con tarifas premium y estafas de inversión.
Un “embudo típico de víctima de estafa de Sniper Dz” comienza con señuelos de ingeniería social localizados, en los que los estafadores se hacen pasar por proveedores de telecomunicaciones conocidos como Algérie Télécom para promover ofertas falsas y dirigir a los usuarios a dominios alojados en Link in bio, servicios que actúan como una capa intermediaria entre la publicación en las redes sociales y el destino final.
“En lugar de dirigir a las víctimas directamente a un sitio web malicioso, la campaña primero dirige a los usuarios a través de plataformas confiables de agregación de enlaces como Linkbio y Linktree”, dijeron los investigadores de Group-IB. “Los atacantes crean páginas de destino señuelo en dominios operados por estos servicios”.
El ataque finaliza dirigiendo a las víctimas a una página que obtiene permisos de notificación del navegador solicitando a los usuarios que hagan clic en “Permitir” para continuar. Detrás de escena, el código incrustado en la página web suscribe el navegador web a un sistema de notificaciones push utilizando una clave pública de identificación voluntaria del servidor de aplicaciones (VAPID).
Group-IB dijo que se ha observado la misma clave VAPID en campañas que se hacen pasar por proveedores de telecomunicaciones en Argelia y estafas relacionadas con inversiones dirigidas a usuarios en múltiples regiones.
“Debido a que las claves públicas VAPID se utilizan para identificar el servicio de notificación responsable de entregar mensajes push, su reutilización puede proporcionar información valiosa sobre las relaciones de infraestructura subyacentes”, dijo la compañía. “La aparición constante de la misma clave en campañas distintas sugiere que los operadores dependen de un ecosistema compartido de notificaciones push en lugar de una infraestructura independiente”.
Además, la página secuestra el botón Atrás inyectando 10 estados históricos falsos, engañando a los usuarios para que visiten sitios que pueden publicar anuncios no solicitados o atrapándolos en una “prisión del botón Atrás” y dentro de contenido controlado por atacantes para inflar las impresiones de anuncios, promover estafas o entregar contenido malicioso.
“La página también implementa una técnica de tabulación que se activa cuando los usuarios interactúan con ciertos enlaces”, señaló la empresa de ciberseguridad. Si un enlace abre una nueva pestaña del navegador, un script retrasado redirige silenciosamente la pestaña original a otro destino controlado por los operadores.
“Esto permite que la campaña continúe generando tráfico a través de su infraestructura de redirección y monetización incluso después de que la víctima crea que ha abandonado el sitio. Al combinar el abuso de notificaciones del navegador con la manipulación del historial y las redirecciones con pestañas, los operadores hacen que sea mucho más difícil para los usuarios escapar del ecosistema de estafa”.
Una vez que los usuarios se inscriben en la infraestructura de notificación, los ataques avanzan a la fase de monetización, dirigiendo a las víctimas a un sistema de distribución de tráfico (TDS) que determina qué estafa presentar en función de factores como el tipo de dispositivo, la ubicación y el operador de telefonía móvil. Las posibles vías incluyen estafas de llamadas con tarifas superiores, fraude de suscripciones de SMS premium y estafas de inversión.
“Esta campaña demuestra cómo las operaciones de fraude modernas dependen cada vez más del abuso de tecnologías web legítimas en lugar del malware tradicional”, dijo Group-IB. “En lugar de infectar dispositivos, los operadores explotan plataformas confiables, funciones de navegador y técnicas de ingeniería social para guiar a las víctimas a través de un embudo de monetización cuidadosamente diseñado”.
