Новости R0bl0ch0n TDS: как партнерский маркетинг превращается в преступную аферу

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
Уже 110 миллионов пользователей пострадали от вредоносных редиректов.


xomxhec5xqlvhdb7ef7e99jk64xlsqb1.jpg


Группа специалистов из компании World Watch обнаружила новую систему распределения трафика ( TDS ), тесно связанную с партнерским маркетингом и активно используемую в мошеннических схемах. Эта система, названная Для просмотра ссылки Войди или Зарегистрируйся из-за характерных последовательностей "0/0/0" в URL-перенаправлениях, затронула около 110 миллионов интернет-пользователей по всему миру.

Партнерский маркетинг, который обычно является законным способом продвижения товаров и услуг, в этом случае превратился в инструмент распространения мошеннической рекламы. Исследователи обнаружили сотни небольших партнерских сетей, которые специализируются на продвижении подозрительных предложений, ведущих к хорошо известным схемам обмана.

R0bl0ch0n TDS представляет собой сложную инфраструктуру из множества доменов и выделенных серверов, надежно защищенных сервисом Cloudflare. Несмотря на то, что злоумышленники включили в свои кампании некоторые легитимные функции, такие как формы отписки и обратной связи, они приняли серьезные меры для сокрытия реальных организаций, стоящих за этими операциями.

Технический анализ R0bl0ch0n TDS показал, что URL-адреса, встроенные в электронные письма, следуют одинаковым шаблонам (<домен>/bb/[0-9]{18}). Эти ссылки содержат несколько автоматических перенаправлений, которые ведут пользователей на поддельные магазины или страницы с опросами. Важно отметить, что эти URL-адреса не могут быть корректно проанализированы автоматическими системами, так как для обхода поддельной капчи требуется участие пользователя.

Эксперты выяснили, что домены с поддельными опросами активно обмениваются данными пользователей со сторонними веб-сайтами. Например, домен facileparking.sbs передает информацию на event.trk-adulvion.com. Эта сеть доменов начала функционировать летом 2021 года и включает более 300 выделенных IP-адресов на серверах Amazon Web Services (AWS).

По данным DomainTools, общее количество DNS-запросов типа A для поддоменов event. с 2021 года составляет около 110 миллионов. Учитывая, что для каждого пользователя регистрируется только один DNS-запрос благодаря механизму фингерпринтинга, эта цифра достоверно отражает общее число людей, ставших мишенью мошеннических схем.

Исследователи выявили две основные категории мошеннических предложений, распространяемых через R0bl0ch0n TDS:

Розыгрыши призов:

  • Привлекательные сообщения о выигрыше в лотерею.
  • После заполнения короткого онлайн-опроса пользователей просят оплатить небольшую сумму за доставку
  • На самом деле таким образом оформляется подписка на регулярные платежи (от 20 до 45 евро каждые две недели)
  • Федеральная торговая комиссия США сообщила о жалобах на сумму более $300 миллионов убытков, со средним ущербом $900 на человека
  • Эксперты World Watch полагают, что реальные цифры значительно выше, учитывая огромное количество ежедневно рассылаемых кампаний
Предложения по улучшению жилья:

  • Реклама завышенных по цене услуг по установке фильтров для водостоков, солнечных панелей, тепловых насосов или душевых кабин для пожилых людей
  • Такие схемы часто распространяются через электронную почту и/или продвигаются с помощью поисковой оптимизации (SEO)
  • Партнеры получают комиссию каждый раз, когда пользователь заполняет контактную форму
  • Затем "продавец" перезванивает потенциальному клиенту
  • Часто продавцы намеренно завышают размер государственных субсидий, на которые может претендовать клиент
Для первоначального распространения URL-адресов, перенаправляемых через R0bl0ch0n TDS, используются различные методы:

  1. Использование случайных поддоменов AWS с данными в части фрагмента URL, которые передаются в R0bl0ch0n TDS и, вероятно, связаны с параметрами партнерской программы
  2. Использование случайных поддоменов Azure с URL-адресами, соответствующими шаблону <случайный_поддомен>.blob.core.windows.net/<случайный_поддомен>/1.html. Данные в фрагменте URL также передаются в R0bl0ch0n TDS
  3. Использование сервисов сокращения URL

Эксперты отмечают, что использование легитимных сервисов, таких как инфраструктура AWS, Azure или сокращатели URL, позволяет партнерам легко модифицировать и развертывать новую инфраструктуру. Это помогает им обходить системы обнаружения и контрмеры, реализованные в Google Safe Browsing или антиспам-фильтрах.
 
Источник новости
www.securitylab.ru

Похожие темы