È stata scoperta un'importante campagna di phishing che potrebbe aver fatto guadagnare ai suoi operatori milioni di dollari attraverso commissioni pubblicitarie di affiliazione.

Scoperta dalla società di sicurezza informatica PIXM focalizzata sull'intelligenza artificiale nel settembre 2021, prima di raggiungere il picco ad aprile e maggio 2022, la campagna ha sfruttato il servizio Messenger di Facebook, l'URL legittimo e i servizi di abbreviazione di pagine Web supportati da pubblicità e sondaggi.

Il principio è semplice: i truffatori hanno creato molti siti di phishing in cui le vittime vengono indotte con l'inganno a fornire le proprie credenziali di Facebook. Dopo di che, sono successe due cose. Uno, verrebbero reindirizzati a un sito Web con annunci, sondaggi e altri modi per generare entrate per gli operatori e due, gli account Facebook delle vittime (si apre in una nuova scheda) verrebbero utilizzati per diffondere ulteriormente la campagna, tramite Messaggero.

Bypassa le protezioni di Facebook

Messenger è generalmente relativamente bravo a rilevare e rimuovere i collegamenti di phishing, ma i truffatori sono riusciti a bypassare (si apre in una nuova scheda) il meccanismo di difesa con servizi di accorciamento degli URL legittimi come litch.me, Famous.co, amaze.co e funnel-preview . .com, hanno scoperto i ricercatori.

L'intera campagna è stata apparentemente automatizzata, con pochissime interferenze da parte delle menti della campagna.

"L'account di un utente verrebbe compromesso e, probabilmente in modo automatizzato, l'autore della minaccia accederebbe a tale account e invierà il collegamento agli amici dell'utente tramite Facebook Messenger", ha affermato PIXM.

Scavando più a fondo, PIXM ha trovato una delle pagine di phishing che ospitava un collegamento a un'app pubblica di monitoraggio del traffico aperta. Attraverso l'app, hanno scoperto che nel 2021 2,7 milioni di utenti hanno visitato uno dei siti di phishing, salendo a 8,5 milioni quest'anno.

Un totale di 405 nomi utente univoci sono stati utilizzati come ID campagna, che probabilmente non è il numero totale di account utilizzati per la campagna.

PIXM ha anche trovato uno snippet di codice comune su tutte le pagine di phishing, riferito a un sito web sequestrato e chiuso dalla polizia. Apparentemente si tratta di un colombiano, tale Rafael Dorado, contro il quale è attualmente in corso un'inchiesta.

I dettagli sui profitti sono scarsi, ma gli investigatori dicono che sono "a milioni".

Via: BleepingComputer (si apre in una nuova scheda)

Condividi questo