Siber güvenlik araştırmacıları yakın zamanda, kötü amaçlı yazılım dağıtmak veya ziyaretçilere kötü amaçlı reklamlar sunmak için büyük markaları taklit eden devasa bir web sitesi sahtekarlığı kampanyası keşfettiler.
Araştırmacılar cyjax (yeni sekmede açılır) “Fangxiao” adında bir grup buldu. Bu grup, Coca-Cola, McDonald’s, Unilever, Emirates ve diğerleri gibi şirketleri taklit eden 42.000’den fazla web etki alanı işletiyor.
Araştırmacılar, 400’den fazla şirketin bu kampanyada bir tür kimlik hırsızlığı yaşadığını söyledi.
Nasıl çalışır
Görünüşe göre Çin dışında faaliyet gösteren grup (ortaya çıkan kontrol panellerinden birinin Mandarin dilinde olduğu iddia ediliyor), her gün bu alan adlarından yaklaşık 300 tane oluşturuyor. Daha sonra WhatsApp mesajları veya mobil reklamlar aracılığıyla reklamlarını yaparlar.
Bu bağlantılara tıklayan kurbanlar, onları meşgul etmek için her türlü taktiği kullanan açılış sayfalarına gönderilir ve bunun büyük bir aldatmaca olduğu gerçeğini düşünemeyecek kadar meşguldür. Yayın, bu açılış sayfalarının hem Google hem de Facebook tarafından “şüpheli” olarak etiketlenen bir reklam ağı olan ylliX’in reklamlarını da barındırdığını iddia ediyor.
Oyun sonu, kurbanların ya bir uygulama (bir Triada truva atı) indirmelerini, bilmeden SMS mikro ödemeleri yapmalarını, sahte arkadaşlık siteleri açmalarını ya da Amazon bağlı kuruluş bağlantıları aracılığıyla saldırganlar için bir komisyon kazanmalarını sağlamaktır.
Bazı durumlarda kurbanlar, Play Store’dan “App Booster Lite – RAM Booster” adlı bir uygulamayı indirmeye de teşvik ediliyor. Bu tamamen kötü niyetli olmasa da, gölgeli izinler istiyor ve çok sayıda kapatılması zor reklam sunuyor. Rapora göre, bu uygulama daha önce reklam yazılımıyla uğraştığı görülen aynı geliştirici tarafından oluşturuldu.
Tehdit aktörlerinin Çin merkezli olması dışında kimliğinin tespit edilmesine yol açabilecek çok az bilgi var. Fangxiao’nun hizmetlerini web trafiğini artırmak isteyen diğer kuruluşlar için sattığı da gözlemlendi.