Ahora que muchos países han vuelto a establecer restricciones, más personas están de vuelta en sus casas. Al mismo tiempo, están ocurriendo varios eventos deportivos. Esto lleva a los fans a sitios de streaming para ver los eventos y inadvertidamente se están convirtiendo en víctimas de una campaña de fraude de clicks.
Las notificaciones push web son una característica de los navegadores que permiten que los sitios web entreguen notificaciones a usuario suscritos. Chrome introdujo esta característica en el 2015 para permitir que los sitios web muestren notificaciones sobre nuevos contenidos para sus usuarios. Cuando un usuario activa estas notificaciones, le permite enviar los mensajes al navegador.
Anunciantes sin escrúpulos están aprovechando esta característica en un caso único de fraude de clicks que podría aprovechar el hecho que cada vez más personas están en casa y buscando contenidos. Trend Micro notó un incremento en este tipo de spam comenzando a finales de febrero. Después de investigar, encontramos algo interesante y único acerca de este esquema de notificaciones en el navegador. En lugar de llevar hacia algo malicioso, el pop-up llevaba a los usuarios a sitios web legítimos de software de seguridad.
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/08/Captura-de-Pantalla-2021-08-25-a-las-16.26.19-300×216.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”216″]
El abuso de la característica de notificaciones del navegador es una violación de la confianza del usuario. Los spammers están usando esta característica como una forma de generar clicks para obtener ganancias por anuncios, y usando el miedo o notificaciones engañosas para convencer a los usuarios de permitir las notificaciones.
La puerta hacia el spam
Comenzando en marzo, los usuarios comenzaron a reportar pop-ups no solicitados mientras navegaban en internet, la mayoría usando los navegadores de Chrome y Edge. Nuestra investigación inicial ha encontrado que estos pop-ups a menudo se originaron desde sitios web que fueron creados para engañar a los usuarios y lograr que habiliten las notificaciones en el navegador.
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/08/Captura-de-Pantalla-2021-08-25-a-las-16.27.15-300×190.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”190″]
Estas notificaciones del navegador son comunes al utilizar Chrome y Edge, y algunos usuarios pueden por defecto hacer click en “permitir” cuando llega una de estas notificaciones.
Los usuarios entonces son llevados hacia los sitios de BNS (browser notification spam) a través de una variedad de páginas doorway, la mayoría de las cuales parecen haber sido creadas específicamente para atraer visitas de usuarios y redirigirlas hacer los sitios BNS. En total, hemos identificado más de 3,500 dominios que redirigen hace más de 80 sitios BNS. Basándonos en rangos de IPs e información de registro, creemos que el mismo actor o grupo desarrolló muchas de las páginas doorway para esta campaña de spam.
Algunos de los sitios utilizados en este ataque, las cuales representan una porción significativa del tráfico que vimos, incluyen:
- allowsuccess.org
- aloha-news.net
- beastbuying.com
- centralheat.net
- news-back.net
- news-central.org
- typiccor.com
Las más de 3,500 páginas doorway tienen como target un amplio rango de intereses de usuarios. La mayoría de los sitios son para contenido adulto, aunque también son bastante comunes el streaming de deportes, videos, compartir medios y blogs “hágalo usted mismo”; hemos visto doorways en varios idiomas como chino y japonés. Incluso hemos visto páginas doorway que hostean manga ilegal en japonés, insinuando que el grupo detrás de esto no solamente está creando páginas web al azar, sino que activamente tienen conocimiento de los tipos de contenido que gente en un país particular podría estar buscando.
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/08/Captura-de-Pantalla-2021-08-25-a-las-16.28.15-300×136.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”136″]
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/08/Captura-de-Pantalla-2021-08-25-a-las-16.28.25-285×300.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”285″ height=”300″]
Las páginas doorway no sólo facilitan el spam, pero también se utiliza material protegido por copyright de forma ilegal en el contenido de las páginas web. En Japón, el uso de manga protegido con copyright es estrictamente regulado.
Los anuncios mostrados dependen de la ubicación del usuario
La meta principal del grupo detrás de esto es redirigir el tráfico de los usuarios hacia los sitios finales de anuncios. El texto y las imágenes del anuncio se localiza basado en la dirección IP del usuario. Un usuario que navega desde Norteamérica podría ver un anuncio distinto comparado con un usuario en Latinoamérica o Asia. Abajo se encuentran 3 ejemplos de anuncios que se mostraron a usuarios en Brasil y Japón.
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/08/Captura-de-Pantalla-2021-08-25-a-las-16.29.35-300×268.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”268″]
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/08/Captura-de-Pantalla-2021-08-25-a-las-16.30.14-295×300.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”295″ height=”300″]
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/08/Captura-de-Pantalla-2021-08-25-a-las-16.30.53-284×300.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”284″ height=”300″]
Los usuarios que continúan desde aquí y hacen click en las opciones de renovación en estos pop-ups son redirigidos hacia las tiendas oficiales en línea de McAfee y Norton 360.
Fue sorprendente para nosotros que el spam de pop-ups abrumara a los usuarios con anuncios para adquirir software de seguridad legítimo. Aparentemente, este es un esquema muy específico en el que los afiliados comisionados intentan ganar más de las compañías de seguridad al engañar a más usuarios para que visiten sus sitios web.
Para los usuarios en los Estados Unidos, la mayoría de los anuncios que hemos visto son para Norton y McAfee. Sin embargo también hemos visto anuncios para la extensión de browser Honey, la cual busca cupones para tiendas en línea.
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/08/Captura-de-Pantalla-2021-08-25-a-las-16.31.37-300×270.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”270″]
Los usuarios fuera de los Estados Unidos fueron el target de anuncios más diversos. aunque la mayoría de los anuncios aún tenían que ver con software de seguridad, también se presentaron anuncios para servicios de citas en línea y suplementos para mejorar el desempeño sexual.
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/08/Captura-de-Pantalla-2021-08-25-a-las-16.32.28-300×275.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”275″]
La cadena de infección
La gráfica siguiente resumen la cadena de infección de este ataque:
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/08/Captura-de-Pantalla-2021-08-25-a-las-16.33.29-195×300.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”195″ height=”300″]
Esta es la cadena completa de redireccionamiento desde las páginas doorway a los sitios BNS y hacia los anuncios finales. es interesante notar que los anuncios también parecen haber sido creados específicamente para esta campaña de spam, ya que la mayoría de los dominios se registraron apenas en los últimos meses.
Lo que los usuarios deberían hacer
Ya que esta situación parece todavía estar en desarrollo, hemos notificado a McAfee y Norton de este abuso potencial. Google también está limitando las capacidades de abuso de la característica de notificaciones en el navegador, específicamente para detener las notificaciones que “engañan a usuarios, buscan información privada o promueven malware.”
Es posible que las víctimas puedan ir a través de este proceso sin saber que se les ha engañado. esto es particularmente cierto si el usuario realmente tiene una suscripción de McAfee o Norton 360 que ha vencido. Usted puede evitar este ataque de spam o similares siguiendo estas recomendaciones:
- Evite visitar sitios web en los que no confía.En su lugar, los usuarios deberían encontrar los contenidos o temas de su interés en sitios web de buena reputación para minimizar el riesgo de verse comprometidos por este spam.
- Los usuarios deben tener cuidado al aceptar las notificaciones en navegadores de manera general.Si no son habilitadas, el spam no puede proceder. Google comparte un tutorial útil para deshabilitarlas en Chrome.
- Los pop-upblockersson una gran forma de limitar este tipo de redirección en navegadores. Los usuarios que reciban un pop-up que sí les interese deberían proceder directamente al sitio recomendado en lugar de hacer click en el anuncio.
Los productos de Trend Micro para consumidores también pueden bloquear el tráfico hacia los sitios de notificaciones en navegadores y prevenir que estos anuncios agresivos molesten y engañan a los usuarios.
Leave a Reply