中国黑客在大规模网络钓鱼攻击中使用42000个假冒域名

一个总部位于中国的财务动机集团正在利用与国际知名品牌有关的信任，策划一场可追溯到2019年的大规模网络钓鱼活动。

威胁演员，配音方晓据报道，Cyjax已注册了42000多个冒名顶替域名，2017年观察到了初步活动。

研究人员艾米莉·丹尼森（Emily Dennison）和阿拉娜·威滕（Alana Witten）表示：“它针对零售、银行、旅游和能源等多个垂直领域的企业”。“承诺的财政或物质激励措施被用来诱骗受害者通过WhatsApp进一步传播这场运动”。

用户点击通过消息应用程序发送的链接，会被引导到一个由演员控制的网站，然后，该网站将他们发送到一个假冒知名品牌的登陆域，受害者再次被带到分发欺诈应用程序和虚假奖励的网站。

这些网站提示访问者完成一项调查以获得现金奖励，并要求他们将信息转发给五个小组或20个朋友。然而，最终的重定向取决于受害者的IP地址和浏览器的用户代理字符串。

研究人员表示，包括阿联酋航空、Shopee、联合利华、Indomie、可口可乐、麦当劳和Knorr在内的400多家组织正在被模仿，作为犯罪计划的一部分。

另外，据观察，从Android设备点击欺诈性移动广告的攻击最终导致部署名为Triada的移动木马，最近发现该木马通过假WhatsApp应用传播。

不仅仅是Triada，此次活动的另一个目的地是谷歌Play商店（Google Play Store）推出的一款名为“app Booster Lite-RAM Booster”的应用程序，该应用程序的下载量超过1000万次。

该应用程序由捷克的开发人员LocoMind开发，被称为“强大的手机助推器”、“智能垃圾清理器”和“有效的电池节约器”

该应用的评论指责发布者展示了太多的广告，甚至指出他们“从一个‘你的android被损坏了x%’的广告中到达这里（Play商店页面）”

“我们的应用程序不能传播病毒，”LocoMind在2022年10月31日回应了其中一条评论。“我们的每个更新都由Google Play检查–；出于这个原因，他们早就删除了我们的应用程序”。

如果在运行iOS的设备上执行相同的操作，受害者将通过关联链接重定向到亚马逊，并在接下来的24小时内从该电子商务平台上的每一笔购买中扣除佣金。

这名威胁行为者与中国的联系源于与aaPanel相关的网络服务中存在中文文本，aaPanel是一个基于Python的开放源代码控制面板，用于托管多个网站。

对2021和2022年颁发给调查域的TLS证书的进一步分析表明，大部分注册与UTC+08:00时区重叠，该时区对应于中国标准时间上午9:00至晚上11:00。

研究人员表示：“运营商在开展此类冒名顶替活动方面经验丰富，愿意保持活力以实现其目标，并且在技术和后勤上有能力扩展业务”。