據(jù)Bleeping Computer消息，同性戀應(yīng)用程序Sniffies近日被黑灰產(chǎn)們盯上了。他們通過推銷各類詐騙和不安全的谷歌Chrome擴(kuò)展程序域名來誘導(dǎo)用戶。在某些情況下，這些非法域名會(huì)啟動(dòng) Apple Music 應(yīng)用程序，提示用戶購買訂閱，這反過來又會(huì)為攻擊者賺取傭金。

Sniffies是2018年面世的一款基于地圖的現(xiàn)代聚會(huì)應(yīng)用程序，適用于男同性戀、雙性戀和對(duì)此感到好奇的用戶。該APP的核心特色是創(chuàng)建了一個(gè)豐富的，可在地圖上顯示附件用戶的界面，極大地方便人們尋找其他人，并迅速成為廣受歡迎的熱門工具，由此也引起了攻擊者的注意。

Sniffies被用于黑灰產(chǎn)

近段時(shí)間以來，安全研究人員觀察到，針對(duì) Sniffies 網(wǎng)站和應(yīng)用程序的黑灰產(chǎn)活動(dòng)十分猖獗。白帽黑客Kody Kinzie表示自己至少發(fā)現(xiàn)了50多個(gè)域名是攻擊者假冒的，其中大多數(shù)都是Sniffies 品牌名稱的拼寫變體。

攻擊者創(chuàng)建這些假的域名，其目的就是為了引誘那些沒有認(rèn)真區(qū)分 Sniffies 網(wǎng)站的用戶，而一旦用戶登陸訪問了這些虛假域名，那么很有可能會(huì)被執(zhí)行以下操作：

• 誘騙用戶安裝可疑的 Chrome 擴(kuò)展程序；
• 通過網(wǎng)絡(luò)瀏覽器在Apple設(shè)備上啟動(dòng)“音樂”應(yīng)用程序；
• 誘騙用戶訪問虛假的技術(shù)“支持”詐騙網(wǎng)站；
• 誘騙用戶訪問虛假招聘網(wǎng)站。

舉個(gè)例子，當(dāng)用戶訪問虛假域名后，會(huì)自動(dòng)喚醒Apple Music 原生應(yīng)用程序，提示用戶按月付費(fèi)訂閱，而這將給黑灰產(chǎn)們帶來不菲的會(huì)員傭金。

Sniffies 的域名仿冒域名試圖啟動(dòng) Apple Music 原生應(yīng)用

此外還有不安全的Google Chrome 擴(kuò)展程序，用戶訪問后網(wǎng)站就會(huì)推薦安裝“ AdBlock Max - 刪除侵入性廣告”和“電影數(shù)據(jù)庫”等，但實(shí)際上這類拓展程序的最終目的是將用戶重定向至詐騙網(wǎng)站。

虛假的 Chrome 擴(kuò)展程序

有意思的是，白帽黑客竟然在AdBlock Max中發(fā)現(xiàn)了一些廣告攔截代碼，但是想要依靠這些代碼來防御“侵入性廣告”無疑是徒勞的，反而給整個(gè)事件蒙極具“諷刺意味”。此外，不少擴(kuò)展程序可能帶有不需要的功能，例如跟蹤功能等。

不僅僅是Sniffies

事實(shí)上，類似的黑灰產(chǎn)活動(dòng)并非首次出現(xiàn)，相反這已經(jīng)成為攻擊者常用的手法，大量注冊(cè)知名品牌的相關(guān)域名，并以此引誘那些粗心的用戶。例如維珍航空的用戶可能一時(shí)無法辨認(rèn)virginatlantc.com域名，其表現(xiàn)出的行為與Sniffies活動(dòng)中的欺詐行為有非常多的相似之處，只不過針對(duì) Sniffies.com 用戶的域數(shù)量更加龐大。

Kinzie 使用開源工具DNSTwist 被動(dòng)生成 Sniffies.com 的排列，在該工具生成的 3531個(gè)域名列表中，有51個(gè)以Web應(yīng)用程序命名的有效域，并指出雖然這些域名托管在隨機(jī)平臺(tái)上，但是很多域名注冊(cè)在同一個(gè) MX 服務(wù)器上。

雖然Google瀏覽器對(duì)于這些不安全的域名會(huì)彈出安全警告，以此提醒用戶注意安全，但在實(shí)際過程中，還有很多Sniffies假冒域名并沒有被警告。近年來，這樣的假冒網(wǎng)站已呈現(xiàn)越來越的趨勢(shì)，其模擬程度也越來越逼真，使得用戶難以辨認(rèn)真假。

參考來源：https://www.bleepingcomputer.com/news/security/gay-hookup-site-typosquatted-by-50-domains-to-push-dodgy-chrome-extensions/