Cibercriminosos empurram golpes em Feed de notícias do Microsoft Edge. O feed está atualmente sendo inundado com anúncios que parecem ser patrocinados por uma ampla campanha de malvertising. O objetivo disso é empurrar golpes de suporte técnico para fluxos de notícias de vítimas em potencial.
Atualmente, uma participação global de 4,3% é detida pelo Microsoft Edge, tornando-o um dos navegadores da Web mais populares do mundo. Isso porque, em computadores com sistema operacional Windows, o navegador da Web Microsoft Edge vem instalado como navegador padrão.
Malvertising no feed de notícias do Microsoft Edge
De acordo com o GBHackers, essa campanha de fraude está no ar há pelo menos dois meses, quando essa operação foi lançada, relatada pelos analistas de segurança da Malwarebytes Threat Intelligence Team.
Embora com base na quantidade de ruído de telemetria que gera, esta é de longe uma das campanhas mais extensas que estão em execução no momento. Centenas de subdomínios sob o aplicativo ondigitalocean[.] foram alternados pelos invasores durante um único dia para hospedar as páginas de fraude, aponta o site.
Os ataques
Além de injetar vários anúncios maliciosos na linha do tempo do Feed de Notícias do Edge, eles também vinculam cada um deles a vários nomes de domínio. Sabe-se também que um deles (tissatweb.us) já havia hospedado um armário de navegador e outros malwares.
Quando os usuários do Edge recebem um fluxo de redirecionamento, várias das configurações em seus navegadores da Web são verificadas para decidir se o redirecionamento vale o tempo do destino, como o fuso horário. Essa decisão é totalmente baseada nos resultados da verificação anterior. Se não o fizerem, uma página falsa será enviada a eles no lugar de páginas da web reais.
Os agentes de ameaças usam a rede de anúncios Taboola para redirecionar vítimas em potencial para suas páginas de destino do golpe. O script usado para filtrar as vítimas em potencial é codificado em Base64 e carregado pela rede de anúncios Taboola.
O Malwarebytes não discutiu o que acontece quando você liga para o número associado aos golpistas. Vários métodos podem ser usados ??para bloquear o computador na maioria dos casos relatados. Os agentes de ameaças também podem tentar convencê-lo a comprar uma licença de suporte para seu dispositivo, alegando que ele está infectado por malware.
Domínios usados
Os seguintes domínios estão associados a esta campanha de publicidade maliciosa usando o Feed de Notícias do Edge: feedsonbudget[.]com; financetrend[.]com; foddylearn[.]com; glamourousfeeds[.]com; globalnews[.]nuvem; hardwarecloseout[.]com; humaanttouch[.]com; principalmentetrendy[.]com; manbrandsonline[.]com; polussuo[.]com; banca de jornal[.]quest; newsforward[.]quest; cachorro e gatos[.]online; thespeedoflite[.]com; tissatweb[.]us; trendingonfeed[.]com; viralonspot[.]com; semanal ao vivo[.]info; site everyavenuetravel[.]com.
Todos esses nomes de domínio mencionados acima foram registrados com o seguinte ID de e-mail: sumitkalra1683@gmail [.]com. Uma pessoa chamada Sumit Kalra é a proprietária deste endereço de e-mail. Enquanto Sumit Kalra está documentado como diretor de uma empresa localizada em Delhi: Mws Software Services Private Limited.
De acordo com a divulgação de negócios da empresa, Computadores e atividades relacionadas foram identificados como sua atividade principal. O ruído de telemetria gerado por esta campanha específica está atualmente entre os mais altos de qualquer campanha atualmente em execução, aponta o GBHackers.