国外流行的同性恋APP被黑灰产们盯上了
2022-9-15 11:54:56 Author: www.freebuf.com(查看原文) 阅读量:37 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

据Bleeping Computer消息,同性恋应用程序Sniffies近日被黑灰产们盯上了。他们通过推销各类诈骗和不安全的谷歌Chrome扩展程序域名来诱导用户。在某些情况下,这些非法域名会启动 Apple Music 应用程序,提示用户购买订阅,这反过来又会为攻击者赚取佣金。

Sniffies是2018年面世的一款基于地图的现代聚会应用程序,适用于男同性恋、双性恋和对此感到好奇的用户。该APP的核心特色是创建了一个丰富的,可在地图上显示附件用户的界面,极大地方便人们寻找其他人,并迅速成为广受欢迎的热门工具,由此也引起了攻击者的注意。

Sniffies被用于黑灰产

近段时间以来,安全研究人员观察到,针对 Sniffies 网站和应用程序的黑灰产活动十分猖獗。白帽黑客Kody Kinzie表示自己至少发现了50多个域名是攻击者假冒的,其中大多数都是Sniffies 品牌名称的拼写变体。

攻击者创建这些假的域名,其目的就是为了引诱那些没有认真区分 Sniffies 网站的用户,而一旦用户登陆访问了这些虚假域名,那么很有可能会被执行以下操作:

诱骗用户安装可疑的 Chrome 扩展程序;

通过网络浏览器在Apple设备上启动“音乐”应用程序;

诱骗用户访问虚假的技术“支持”诈骗网站;

诱骗用户访问虚假招聘网站。

举个例子,当用户访问虚假域名后,会自动唤醒Apple Music 原生应用程序,提示用户按月付费订阅,而这将给黑灰产们带来不菲的会员佣金。

Sniffies 的域名仿冒域名试图启动 Apple Music 原生应用

此外还有不安全的Google Chrome 扩展程序,用户访问后网站就会推荐安装“ AdBlock Max - 删除侵入性广告”和“电影数据库”等,但实际上这类拓展程序的最终目的是将用户重定向至诈骗网站。

虚假的 Chrome 扩展程序

有意思的是,白帽黑客竟然在AdBlock Max中发现了一些广告拦截代码,但是想要依靠这些代码来防御“侵入性广告”无疑是徒劳的,反而给整个事件蒙极具“讽刺意味”。此外,不少扩展程序可能带有不需要的功能,例如跟踪功能等。

不仅仅是Sniffies

事实上,类似的黑灰产活动并非首次出现,相反这已经成为攻击者常用的手法,大量注册知名品牌的相关域名,并以此引诱那些粗心的用户。例如维珍航空的用户可能一时无法辨认virginatlantc.com域名,其表现出的行为与Sniffies活动中的欺诈行为有非常多的相似之处,只不过针对 Sniffies.com 用户的域数量更加庞大。

Kinzie 使用开源工具DNSTwist 被动生成 Sniffies.com 的排列,在该工具生成的 3531个域名列表中,有51个以Web应用程序命名的有效域,并指出虽然这些域名托管在随机平台上,但是很多域名注册在同一个 MX 服务器上。

虽然Google浏览器对于这些不安全的域名会弹出安全警告,以此提醒用户注意安全,但在实际过程中,还有很多Sniffies假冒域名并没有被警告。近年来,这样的假冒网站已呈现越来越的趋势,其模拟程度也越来越逼真,使得用户难以辨认真假。

参考来源

https://www.bleepingcomputer.com/news/security/gay-hookup-site-typosquatted-by-50-domains-to-push-dodgy-chrome-extensions/


文章来源: https://www.freebuf.com/news/344555.html
如有侵权请联系:admin#unsafe.sh