기술 지원 사기에 악용된 Microsoft의 Edge 뉴스 피드
Malwarebytes의 보안 연구원들은 Microsoft의 Edge 뉴스 피드에 광고를 삽입하여 잠재적인 피해자를 기술 지원 사기를 조장하는 웹사이트로 리디렉션하는 지속적인 멀버타이징 캠페인을 발견했습니다.
Malwarebytes의 위협 인텔리전스 팀은 이 사기 작전이 최소 두 달 동안 진행되었으며, 텔레메트리 노이즈가 많이 발생했기 때문에 가장 광범위한 캠페인 중 하나로 간주된다고 밝혔습니다.
공격자는 하루 만에 수백 개의 ondigitalocean.app 하위 도메인을 전환하여 사기 사이트를 호스팅합니다. 엣지 뉴스피드 타임라인에 삽입된 여러 악성 광고도 12개 이상의 도메인과 연결되어 있습니다.
Edge 사용자를 악성 웹사이트로 보내는 데 사용되는 리디렉션 흐름은 시간대와 같은 다양한 설정이 있는지 대상의 웹 브라우저를 확인하여 시간을 할애할 가치가 있는지 판단하고, 그렇지 않은 경우 미끼 페이지로 보내는 것으로 시작됩니다.
사기 랜딩 페이지로 리디렉션하기 위해 위협 행위자는 Taboola 광고 네트워크를 사용하여 Base64로 인코딩된 JavaScript 스크립트를 로드하여 잠재적 피해자를 필터링합니다.
"이 스크립트의 목표는 잠재적 피해자에게만 악의적인 리디렉션을 표시하고, 관심 없는 봇, VPN 및 지리적 위치는 무시하고 대신 광고와 관련된 무해한 페이지를 표시하는 것입니다. 이 수법은 기술 지원 사기꾼들이 잘 알고 있고 사용하는 가짜 브라우저 락커 페이지로 무고한 사용자를 속이기 위한 것입니다."라고 Malwarebytes는 설명합니다.
이 글의 출처는 BleepingComputer의 기사입니다.