Análisis de amenazas

Los estafadores están optimizando los resultados de SEO para atraer a las víctimas

Threat Intelligence Team, 10 junio 2020

No te dejes engañar por los resultados mejor clasificados que parecen demasiado buenos para ser verdad

sin nombre-3

Google, Bing, Yahoo, Yandex y Baidu son algunos de los principales motores de búsqueda del mundo y sirven como punto de partida para millones de usuarios de Internet que buscan información. La mayoría de las personas probablemente no navegue más allá de las primeras dos o tres páginas de resultados de búsqueda, razón por la cual los propietarios de sitios web pretenden que su sitio aparezca entre los mejores resultados, para atraer a los visitantes del sitio. Los propietarios de sitios web hacen esto mediante un proceso llamado optimización de motores de búsqueda (o SEO). Las empresas confían en buenas críticas, Google Maps y contenido optimizado para garantizar que sus sitios web estén bien ajustados para que se puedan buscar y mostrar fácilmente en los resultados.

Los estafadores se han dado cuenta de que también pueden usar SEO para encontrar más víctimas y convencerlos de que hagan clic en un enlace si sus sitios web aparecen más arriba en los resultados de los motores de búsqueda. Utilizando esto, pueden obtener motores de búsqueda bien conocidos para enumerar páginas web html simples que contienen redireccionadores que conducen a contenido fraudulento. Una página de estafa típica podría ser una página simple que convenza a las personas de que ganaron un nuevo iPhone y con las palabras de búsqueda correctas, se pueden enumerar enlaces maliciosos en la primera y segunda página de resultados de búsqueda. 

¿Cómo?

Todo comienza con una simple búsqueda. Si colocas suficientes palabras clave en el cuadro de búsqueda, el resultado puede incluir sitios web simples que se crearon para que los motores de búsqueda los indexen y enumeren fácilmente. Para esta consulta a continuación, busca películas en línea con subtítulos en rumano. Nuestros datos muestran mucha actividad en Google y Yandex.

Todos los sitios web fraudulentos son similares. La única diferencia son las marcas objetivo. El código fuente del sitio web muestra claramente el esfuerzo para hacer que las páginas web simples sean lo más amigables para el SEO posible.

sin nombre-2-1Sitio web simple bien optimizado para SEO

El diseño simple con solo texto e imágenes no está pensado para los ojos de los usuarios. El propósito de este sitio web está oculto, como siempre, en el código fuente.

sin nombre-1-2Calificación falsa

El primer vistazo muestra un código fijo para crear la apariencia de reseñas positivas de productos de Google en resultados de búsqueda enriquecidos. La información estática adjunta es más notable entre otros enlaces en los resultados de búsqueda (se muestra en la segunda ilustración).

El código fuente también muestra una importación de JavaScript muy ofuscado que toma las huellas digitales del usuario antes de redirigirlas al sitio de estafa. 

sin nombre-2-2Importación de script ofuscado

La ofuscación del código fuente utiliza muchos ciclos de funciones, que esencialmente construyen el código fuente final palabra por palabra.

 

sin nombre-3-1La variable BaatKw carga valores desobuscados durante la evaluación del script

sin nombre-3-1Los motores de búsqueda dirigidos

Redirigir

sin nombre-4Durante la evaluación del script, los usuarios ven una imagen de carga simple

Al hacer clic en el enlace en los resultados de búsqueda de Google, el usuario, por un breve momento, ve una simple imagen de carga antes de que el sitio los redirija a uno de los sitios web de estafa preparados. Por ejemplo, uno de los sitios puede ser un cuestionario falso, pidiéndole que responda algunas preguntas para tener la oportunidad de ganar el último iPhone. O un juego simple donde abres regalos. Estamos viendo muchos dominios recién registrados cuyo único propósito es alojar el contenido de estafa. 

sin nombre-5Un posible sitio de estafa

sin nombre-6Cuestionario de estafa 

La dirección IP resuelta de demoerlayns [.] Live aloja más de 5k dominios sospechosos.

sin nombre-4Información Whois de demoerlayns [.] En vivo

Si trató de visitar algunos de esos dominios, el retorno típico es una página en blanco con una nota.

sin nombre-5Pagina principal

Pero al agregar el parámetro correcto, obtienes contenido de estafa.

sin nombre-6Susp dominio con parámetro

sin nombre-7Otro dominio sospechoso que se resuelve en la misma dirección IP

sin nombre-8Cientos de dominios recientemente ocurridos en IP resuelta

Pero volvamos a la página de estafa. Después de responder todas las preguntas, el sitio web actúa como si estuviera evaluando respuestas y luego, sorpresa, sorpresa, usted es el ganador. Para ayudar a convencer a aquellos que ya sospechan un poco de las ofertas, hay varios comentarios falsos de Facebook donde los usuarios comentan sobre sus nuevos teléfonos. Todo el texto de esta página está traducido al checo u otros idiomas, dependiendo de dónde se encuentre su dirección IP, sin errores gramaticales notables.

sin nombre-7Comentarios falsos

Entonces ganaste. ¿Ahora qué? Para obtener tu premio, todo lo que tienes que hacer es dar clic en el enlace proporcionado configurado para convencer al usuario de que aparentemente solo queda uno. Este clic te transferirá a otra página web. 

sin nombre-8

Premio de oferta de página falsa por una pequeña tarifa

Una forma simple pero bien diseñada presenta la opción de elegir el color de tu nuevo dispositivo. Lo único que queda por hacer es completar tu información de contacto y pagar un precio simbólico de 2 euros. Hay varios diseños que surgen esencialmente de la misma página.

sin nombre-9Uno de los posibles sitios de pago.

sin nombre-10Formulario de pago

Esto termina cuando el usuario envía su dinero a los atacantes y el usuario asume que casi tienen un iPhone gratis. Aunque esta es la estafa común, hay variantes. Puede terminar con una página que te pide que permitas las notificaciones push. Al permitir esas notificaciones, tu navegador comenzará a mostrarte anuncios no deseados, que se muestran a continuación.

sin nombre-11Ventana emergente de notificaciones push 

sin nombre-9Anuncios no deseados en notificaciones

Otra de estas variantes de estafa que los atacantes han hecho es un sitio web diferente que promete soluciones para aquellos que desean ganar mucho dinero, continuando en las líneas para ayudar a las personas, haciendo que paguen para recibir más.

sin nombre-12Más variantes de estafa

sin nombre-13Otra posible categoría de estafa

Conclusión

Por lo que vemos en nuestros datos, este tipo de campañas de estafa están creciendo en popularidad. En comparación con las campañas de phishing , donde es más fácil analizar y encontrar estas campañas por el código fuente, este tipo de campañas de sitios web fraudulentos pueden dar a los atacantes no solo credenciales de los usuarios, sino que a menudo también se monetizan. Muchas de estas campañas utilizan grandes cantidades de orientación antes de mostrar este contenido en particular a los usuarios. Esto les brinda una mejor oportunidad de evitar detecciones por software antivirus. Si estás buscando en línea algo específico y te encuentras con una oferta que parece demasiado buena para ser verdad, probablemente lo sea. Ten cuidado con quién compartes tu información financiera en línea y no seas víctima de este tipo de estafas. 

sin nombre-10La campaña de estafa tiene un enfoque global (a partir del 8 de junio)

Como puedes ver en la ilustración, nuestros datos muestran que la campaña detectada tiene un impacto global.