Análisis de amenazas

CNN, People Magazine y CNBC News: los sitios que fueron falsificados para la promoción del libro de supervivencia de pandemias

Threat Intelligence Team, 27 abril 2020

Los sitios web fraudulentos han engañado a más de 10,000 personas en los Estados Unidos para que visiten una tienda falsa que vende un libro por $37 dólares y que en realidad se puede descargar de forma gratuita.

Pandemicsurvival1-1

Ten cuidado con otro intento de los estafadores de utilizar la pandemia de Coronavirus a su beneficio, en este caso vendiendo un libro electrónico por $37 dólares, que en realidad está disponible para descargar de forma gratuita. El título del libro es Pandemic Survival y contiene una colección de consejos supuestamente utilizados por el gobierno. Los consejos incluyen información sobre cómo estar en cuarentena adecuadamente, "aislado en una tienda de campaña al aire libre", y recomienda el uso de "BioImmune", un suplemento para "apoyar al cuerpo para ayudar a combatir los gérmenes y virus dañinos". Desde el 1 de abril hasta el 20 de abril, hemos visto más de 10,000 intentos de visitas de usuarios de EE. UU. Al sitio web de la tienda, más de 900 visitas del Reino Unido y más de 600 de Canadá y Australia cada una. Avast bloquea la URL de la tienda y las URL de los sitios web falsos que promocionan la tienda.

El elemento principal del sitio web de estafa es un reproductor de video diseñado para imitar a YouTube. El propósito del video es persuadir a los usuarios para que compren el libro electrónico. El proceso de pago es manejado por el sitio web BuyGoods.com donde los usuarios son redirigidos si intentan comprar este libro. Cuando se transfiere el dinero, el usuario recibirá un enlace para descargar su libro recién comprado. Este enlace lleva al sitio psurvival [.] Org.

pandemicsurvival2Sitio anfitrión del ebook Pandemic Survival .

La parte interesante es que no se toman precauciones de seguridad para entregar el libro electrónico. Por lo tanto, cualquiera puede descargar este libro electrónico de forma gratuita sin ninguna verificación. El certificado y la información "whois" no parecen pertenecer a un negocio serio.

pandemicsurvival3Registro Whois de pssurvival.org

El número de teléfono que figura en el registro whois tiene algunas críticas negativas dejadas por los usuarios.

pandemicsurvival4

Opiniones dejadas por los usuarios

Nuestros datos muestran que hay una cantidad decente de actividad en torno a esta campaña de estafa. Una razón para esto puede ser que esta campaña no solo se propaga por correo electrónico, según lo (sitio en inglés) confirmado por el blog de seguridad cibernética OSINT Fans (sitio en inglés), sino también a través de publicidad maliciosa, lo que significa que los cibercriminales compran espacio publicitario en una red publicitaria para mostrar publicidad maliciosa y maliciosa promocionando la campaña, en estafa sitios web.

pandemicsurvival5

Crédito de la imagen: OSINT Fans ; La publicidad de correo electrónico no deseado PandemicSecrets [.] Org.

Echamos un vistazo más de cerca al sitio web fraudulento healthylifeupdate [.] Com, y notamos que los actores de la amenaza se aprovechan de las marcas de medios populares para crear un sentido de confianza entre los lectores. Entonces, si los usuarios visitan healthylifeupdate [.] Com, se encontrarán con un sitio web con el logotipo, el aspecto y la sensación de los sitios web de CNN, CNBC y People, robando sus marcas.

Los sitios web healthylifeupdate [.] Com y usmagazine-trending-news [.] Com contienen enlaces de redireccionamiento a la tienda de estafas, PandemicSecrets [.] Org. 

Los siguientes sitios web fraudulentos contienen redireccionamientos, que llevan a los usuarios a donde quieran los atacantes.

cuerpo1Tanto healthylifeupdate [.] Com como usmagazine-trending-news [.] Com contienen redirecciones a PandemicSecrets [.] Org.

bodyimageleftbodymiddle2bodyimageright4healthylifeupdate [.] com viene con subpáginas con diferentes marcas de medios populares de EE. UU., incluyendo CNN, People y CNBC, engañando al usuario para que piense que está en un sitio de noticias de confianza.

¿Qué pasa con esos redireccionamientos? Podemos confirmar que el vector de infección principal fue a través del correo electrónico. La redirección final envía al usuario a la página de destino pandemicsecrets [.] Com y siempre termina en la dirección IP 50.23.130 [.] 135 que pertenece a la infraestructura de MaxWeb (sitio en inglés), una red de afiliados. 

Pudimos reproducir esta campaña a través de muchas cadenas de redireccionamiento diferentes: 

antes del globo

pandemicsurvival6Impactos de detección para abril.

Avast está protegiendo a sus usuarios al bloquear la tienda web y los sitios de publicidad maliciosa que apuntan al libro. En general, los usuarios siempre deben prestar atención a la URL de un sitio web y si coincide con el contenido que se muestra en el sitio. También deben usar el sentido común cuando busquen consejos sobre cómo mantenerse saludable y seguro en medio de la pandemia de COVID-19. Existen fuentes oficiales como el Centro de Recursos de Coronavirus Johns Hopkins , la Organización Mundial de la Salud y los Institutos Nacionales de Salud (sitios en inglés) que brindan profundos consejos.