Les chercheurs en cybersécurité ont récemment découvert une vaste campagne de phishing sur un site Web qui se fait passer pour de grandes marques pour distribuer des logiciels malveillants ou diffuser des publicités malveillantes aux visiteurs.
Des chercheurs de Cyjax (ouvre dans un nouvel onglet) ont découvert un groupe appelé « Fangxiao ». Ce groupe exploite plus de 42.000 XNUMX domaines Web se faisant passer pour des sociétés telles que Coca-Cola, McDonald's, Unilever, Emirates et autres.
Plus de 400 entreprises ont été victimes d'une forme de vol d'identité dans cette campagne, selon les chercheurs.
Comment ça marche
Le groupe, qui opère apparemment depuis la Chine (l'un des panneaux de contrôle exposés serait en mandarin), crée environ 300 de ces domaines chaque jour. Ils les annoncent ensuite via des messages WhatsApp ou des annonces mobiles.
Les victimes qui cliquent sur ces liens sont redirigées vers des pages de destination qui utilisent toutes sortes de tactiques pour les maintenir engagées et trop occupées pour considérer cela comme une grosse arnaque. Ces pages de destination hébergent également des publicités d'ylliX, un réseau publicitaire qualifié de « suspect » par Google et Facebook, selon le message.
Le but ultime est que les victimes téléchargent une application (un cheval de Troie Triada), effectuent sans le savoir des micropaiements par SMS, ouvrent de faux sites de rencontres ou gagnent une commission pour les attaquants via des liens d'affiliation Amazon.
Dans certains cas, les victimes sont également amenées à télécharger une application sur le Play Store appelée « App Booster Lite – RAM Booster ». Bien que celui-ci ne soit pas totalement malveillant, il demande des autorisations douteuses et diffuse un grand nombre d’annonces difficiles à fermer. Selon le rapport, cette application a été créée par le même développeur qui était auparavant impliqué dans le logiciel publicitaire.
Hormis le fait que les acteurs de la menace sont basés en Chine, il existe très peu d'informations permettant de les identifier. Fangxiao a également été observé en train de vendre ses services à d'autres entités cherchant à augmenter le trafic Web.