Palo Alto’daki siber güvenlik araştırmacıları son zamanlarda 276 stoklanmış alan içeren büyük ölçekli bir hediye kartı aldatmacası kampanyası ortaya çıkardılar.
Scam, Google Play, Amazon ve Roblox gibi popüler hizmetler için ücretsiz veya indirimli hediye kartlarının reklamını yaparak kullanıcıları hedefler, kurbanları kişisel bilgileri ifşa etmeye, tarayıcı uzantılarını indirmeye veya ortaklık bağlantıları aracılığıyla satın alma hizmetlerine sahiptir.
Scam Detayları ve Taktikleri
Kampanya, öngörülebilir kalıpları izleyen otomatik oluşturulan alanlar ağı kullanıyor. Bu alanlar meşru görünecek şekilde tasarlanmıştır ve aşağıdakiler gibi formatlar içermektedir:
___deal.com___selling.com___codes.comoffer___.com___offer.com___eshop.com
Bu alanların örnekleri arasında KGMDEAL[.]com, rgndeal[.]com ve ctadeal[.]com. 276 etki alanının tamamı aynı IP adresine karar verir (198.12.86[.]90) ve merkezi kontrolü gösteren dört adlayıcıdan oluşan paylaşılan bir set kullanın.
Scam, AFFGO gibi Ara Trafik Dağıtım Sistemi (TDS) alanları aracılığıyla kullanıcıları yeniden yönlendirerek çalışır[.]XYZ – Son Destinasyonlara: Gibi:
- 24. Primerewardspot[.]com
- çirkin[.]ortak[.]içinde
- geyik[.]com
Kullanıcılara, bu son sitelerde sözde hediye kartlarını talep etmek için görevleri tamamlamaları istenir. Bu görevler şunları içerir:
- Ortaklık bağlantıları aracılığıyla hizmetlere kaydolmak (örn., USA Today, Freecash[.]com)
- Tarayıcı uzantılarını indirme
- İletişim bilgileri gibi kişisel bilgiler sağlamak
Yeniden yönlendirme zinciri örnekleri
Yeniden yönlendirme süreci karmaşıktır ve aldatmacanın kökenini gizlemek için tasarlanmıştır. Örneğin:
Ctadeal’i ziyaret eden bir kullanıcı[.]com affgo aracılığıyla yeniden yönlendirilir[.]GOUNRICAL gibi son destinasyonlara yol açan XYZ[.]com veya 24.Primerewardspot[.]com.
Bu son sayfalarda, kullanıcılardan formları kişisel bilgilerle doldurma veya bağlı kuruluş hizmetlerine kaydolma gibi görevleri tamamlamaları istenir.
Bu kampanya, siber suçluların şüpheli olmayan kullanıcıları kullanmak için aldatıcı taktiklerden yararlanan kalıcı tehdidi vurgulamaktadır. Otomatik oluşturulan alanlar ve merkezi altyapı kullanarak, saldırganlar operasyonlarında ölçeklenebilirlik ve verimlilik sağlar.
Siber güvenlik uzmanları, kullanıcıları gerçek olamayacak kadar iyi görünen tekliflerle karşılaşırken dikkatli olmaya çağırıyor. Şüpheli bağlantıları tıklamaktan, doğrulanmamış uzantıları indirmek veya tanıdık olmayan web sitelerinde kişisel bilgileri paylaşmaktan kaçının.
Bu kampanya “hediye_card_scam” tanımlayıcısı altında izlendi ve altyapısını ortadan kaldırmak ve etkisini azaltmak için daha fazla araştırma devam ediyor.
Equip your team with real-time threat analysis With ANY.RUN’s interactive cloud sandbox -> Try 14-day Free Trial