Coca-Cola などの有名ブランドを偽装する 42,000 のサイト:中国由来の大キャンペーン

42,000 sites used to trap users in brand impersonation scheme

2022/11/14 BleepingComputer — Fangxiao という名の悪質なグループが、有名ブランドになりすまし、ユーザーをアドウェア・アプリ/出会い系サイト/無料景品宣伝するサイトなどにリダイレクトするための、Web ドメイン 42,000 以上で構成される大規模ネットワークを構築している。 これらの偽ドメインは、Fangxiao 自身のサイトの広告収入や、このグループからトラフィックを購入した顧客の、訪問者数を増やすための大規模スキームの一部として使用されているようだ。

Cyjax の詳細レポートによると、この脅威アクターは中国を拠点としている。2017年から活動を開始し、小売/銀行/旅行/医薬/輸送/金融/エネルギーなどの分野の、400以上の有名ブランドになりすましている。

このレポートで示された例には、Coca-Cola/McDonald’s/Knorr/Unilever/Shopee/Emirates などが含まれ、それらの大量の偽サイトが広範なローカライゼーション・オプションを備えていることが特徴である。

Triada トロイの木馬などのマルウェアに感染させられるサイトに、Fangxiao の被害者がリダイレクトされるケースも多々ある。しかし、これらのサイトの運営者とFangxiao の関連性は、現時点では立証されていない。

利益を生み出す工場

Fangxiaoは 、顧客を自社サイトへ誘導する大量のトラフィックを生成するために、毎日のように約300件の新しいブランドなりすましドメインを登録している。

この悪質な運営者は 2022年3月以降において、少なくとも24,000 のランディング・ドメインとアンケート・ドメインを使用して、被害者に対して偽の景品を宣伝してきた。

One of the fake giveaway sites
One of the fake giveaway sites (Cyjax)

これらのサイトの多くは、TLD に .top を使用し、それに続くのが .cn/.cyou/.xyz/.work/.tech の順となる。これらのサイトは、Cloudflare の背後に隠され、GoDaddy/Namecheap/Wix を通じて登録されている。

Most Fangxiao landing pages use the '.top' TLD
Most Fangxiao landing pages use the ‘.top’ TLD (Cyjax)

被害者となるユーザーは、モバイル広告や WhatsApp メッセージを受信した後に、これらのサイトにアクセスして、特別オファーや当選を知らせられる。これらのランディング・ドメインは、被害者を混乱させるために、タイマーで緊急性を演出するアンケート・ドメインへとリダイレクトさせる。

Redirection chart
Redirection chart (Cyjax)

このアプリは、Fangxiao のリファラルから新規ユーザーを登録するための、十分な時間び確保を目的として、少なくとも30秒間は起動し、開いたままにするよう被害者に要求する場合もある。このランディング・サイトは、Google と Facebook が “suspicious” 判定した、ylliX の広告もホストしており、それらをクリックすると別のリダイレクト・チェーンが発生する。

リダイレクトの経路は、ユーザーの位置情報 (IP アドレス) とユーザー・エージェントに依存し、Triada トロイの木馬のダウンロード・サイトや、アフィリエイト・リンク経由の Amazon、偽の出会い系サイト、SMS マイクロ・ペイメント詐欺へと接続していく。

Redirection chain leading to Triada infection
Redirection chain leading to Triada infection (Cyjax)

Fangxiao キャンペーンで観測された、もう1つの感染先は、1000万以上のダウンロード数を誇る Android デバイス向けパフォーマンス・ブースターである、App Booster Lite – RAM Booster アプリの Play Store ページである。

Cyjax によると、このアプリには悪意の機能は搭載されていないが、ユーザーのリスクを高めるパーミッションへのアクセスを承認するよう求め、閉じにくいポップアップを介して大量の広告を配信しているとのことだ。

このアプリの発行元である LocoMind は、以前にアドウェアの配布に関連していた、Holacode という別のアプリ開発者と IP アドレスを共有している。

このキャンペーンで使用されていることを、Cyjax が確認したドメインの全リストは、ココで参照できる。

結論

Cyjax の調査により、Fangxiao が中国の事業者であることを示す、いくつかの兆候が得られた。たとえば、公開されたコントロール・パネルでは、北京語が使用されているケースがあった。

しかし、OGUsers のようなハッキング・フォーラムにリンクされた、いくつかの電子メール・アドレスを除いて、脅威アクター身元に関する詳細な手がかりは得られていない。

また、多くの偽サイトを使って被害者を引き寄せる、この大規模なおとり作戦が、最終なディスティネーションと何らかの関係があるのか、それとも、Fangxiao は単に利益を上げるために、それらのサイトと協力しているだけなのかは、現時点で不明である。

この Fangxiao は、単なるアドウェアなのか、それ以上のものになるのか、いろいろと不明なところが多そうですね。それにしても、小見出しにある [利益を生み出す工場] という表現がぴったりです。このところのアドウェアに関する記事ですが、7月30日の「Facebook 上で宣伝されるアドウェア・アプリ:日本などから 700万回も DL されている」や、8月16日の「Kaspersky 調査:Web ブラウザ・エクステンション 700万に潜む悪意のアドウェア」、9月26日の「Google Play/Apple Store のアドウェア:巧妙に振る舞い 1,300万回インストールに到達」などがあります。また、アドウェアからランサムローダーへと進化するケースもあり、そのあたりが、いちばん怖いところです。

%d bloggers like this: