.
Milhares de sites pertencentes a agências governamentais dos EUA, universidades importantes e organizações profissionais foram sequestradas na última meia década e usadas para promover ofertas e promoções fraudulentas, descobriu uma nova pesquisa. Muitos desses golpes são direcionados a crianças e tentam induzi-los a baixar aplicativos, malware ou enviar dados pessoais em troca de recompensas inexistentes em fortnite e roblox.
Por mais de três anos, o pesquisador de segurança Zach Edwards tem rastreado esses sequestros e golpes de sites. Ele diz que a atividade pode ser vinculada às atividades de usuários afiliados de uma empresa de publicidade. A empresa registrada nos Estados Unidos atua como um serviço que envia tráfego da web para uma variedade de anunciantes online, permitindo que indivíduos se cadastrem e usem seus sistemas. No entanto, em qualquer dia, Edwards, gerente sênior de informações sobre ameaças da Human Security, descobre dezenas de domínios .gov, .org e .org sendo comprometidos.
“Este grupo é o que eu consideraria ser o grupo número um em massa comprometendo a infraestrutura em toda a Internet e hospedando golpes e outros tipos de exploits”, diz Edwards. A escala dos comprometimentos do site – que estão em andamento – e a natureza pública dos golpes os destacam, diz o pesquisador.
Cortesia de Matthew Burgess
Os esquemas e maneiras pelas quais as pessoas ganham dinheiro são complexos, mas cada um dos sites é sequestrado de maneira semelhante. Vulnerabilidades ou pontos fracos no back-end de um site ou em seu sistema de gerenciamento de conteúdo são explorados por invasores que carregam arquivos PDF maliciosos no site. Esses documentos, que Edwards chama de “PDFs venenosos”, são projetados para aparecer nos mecanismos de busca e promover “livre fortnite peles”, geradores de robloxmoeda do jogo ou fluxos baratos de Barbie, Oppenheimere outros filmes populares. Os arquivos estão repletos de palavras que as pessoas podem pesquisar sobre esses assuntos.
Quando alguém clica nos links dos PDFs venenosos, eles podem ser enviados por vários sites, o que os direciona para páginas de destino fraudulentas, diz Edwards, que apresentou as descobertas na conferência de segurança Black Hat em Las Vegas. Existem “muitas páginas de destino que parecem super segmentadas para crianças”, diz ele.
Por exemplo, se você clicar no link em um PDF anunciando moedas gratuitas para um jogo online, você será direcionado a um site onde ele solicitará seu nome de usuário e sistema operacional no jogo, antes de perguntar quantas moedas você gostaria de receber gratuitamente. Um pop-up aparece dizendo: “Última etapa!” Esta “página de bloqueio” afirma que as moedas gratuitas do jogo serão desbloqueadas se você se inscrever em outro serviço, inserir dados pessoais ou baixar um aplicativo. “Eu testei centenas de vezes”, diz Edwards. Ele nunca recebeu uma recompensa. Quando as pessoas são conduzidas por esse labirinto de páginas e acabam baixando um aplicativo, inserindo dados pessoais ou qualquer número de ações necessárias, os responsáveis pelos golpes podem ganhar dinheiro.
Esses tipos de golpes já existem há algum tempo, dizem os pesquisadores de fraudes em anúncios. Mas estes se destacam, pois todos têm links para a empresa de publicidade CPABuild e os membros que trabalham para sua rede, diz Edwards. Todos os sites comprometidos que têm PDFs carregados estão ligando para servidores de comando e controle pertencentes ao CPABuild, diz Edwards. “Eles estão empurrando campanhas publicitárias para a infraestrutura de outra pessoa”, diz ele. Pesquisar no Google por um arquivo vinculado aos PDFs traz páginas de resultados de sites comprometidos.
.
