美国救援计划法案在野外的诱惑

执行概要

DomainTools的研究人员发现了一群证书收集网站，它们伪装成美国救援计划法案注册网站，为那些希望获得联邦援助的人提供服务。通过历史WHOIS信息和OSINT技术，DomainTools将这一活动归因于尼日利亚一家网络开发公司GoldenWaves Innovations。在本文中，DomainTools研究人员将介绍用于列举这些网站的技术和方法，并以中-高置信度进行关联归因。

背景

2021年3月11日，乔·拜登总统签署了美国救援计划法案成为法律。2019冠状病毒病大流行救济法案旨在为工薪家庭提供1400美元的即时救济，为超过1亿美国人提供紧急带薪休假，并扩大儿童税收抵免，以及其他一些赠款和支柱，以帮助解决其他预算短缺问题。自从这一法案签署成为法律以来，DomainTools的研究人员一直在监测以救济接受者为目标的新注册域名。不幸的是，许多救济受骗者并不知道这种救济将由国税局自动分配给他们，所以骗子利用这个机会收集社会安全号码和驾照照片，用于身份盗窃。

寻找更多的

DomainTools研究人员发现的最初域名是reliefcarefunds[。] . com，它包含了上面的应用程序表单，并典型地将其上传到同一个域上的PHP目的地。然而，隐藏在代码中的注释是，该页面已经镜像自americaforgive relieffund[。com和一个提交给该域的PHP脚本的联系页面。有了更多域的证据，DomainTools研究人员查看了页面背后的架构，以寻找相似之处。正如本博客的读者所知，DomainTools是复合对象建立指标的方法，通过检查这两页，我们可以看到它们的共同点是:

• 通过NameCheap上登记
• 包含" relief "子字符串
• 包含美国的“eric”子字符串或“care”子字符串，在2021年3月11日法案签署成为法律后注册
• 在NameCheap托管基础设施上托管

正在寻找这个合成物DomainTools虹膜调查， DomainTools的研究人员披露了39个潜在域名和一个与这些域名相关的电子邮件地址goldenwaves247@gmail[.]com。为了确认相似性，我们使用URLScan禁止搜索未发现的域名列表，由其他人在上个月遇到这些域名的任何扫描。不出所料，这显示了一组额外的域名，其结构与最初的钓鱼页面几乎完全相同，可以追溯到几乎正好一个月前。

这个域列表还提供了另一组重要信息。首先，DomainTools的研究人员能够看到这些链接中的一些是由Bitly链接缩短链接推送的。使用Bitly，在任何缩短的链接上添加一个“+”，就可以提供关于该链接的一些数据。在本例中，我们可以看到缩短程序是在2021年6月5日UTC时间1630创建的，其特定标题为“COVID-19疫情期间的失业保险救济|美国救援计划法案”，与其他克隆页面的标题匹配。

我们还可以看出，在扫描时，许多克隆页面并不仅仅托管在NameCheap的站点托管服务上，而是同时活跃在Garanntor (AS328110)和OVH (AS16276)上。这允许我们搜索的项目集:

• 通过NameCheap上登记
• 包含" relief "子字符串
• 包含“eric”子串，如America子串或“care”子串
• 2021年3月11日法案签署成为法律后的注册
• 托管在NameCheap (AS22612)、Garanntor (AS328110)或OVH (AS16276)托管基础设施上

结果显示总共有47个域名符合我们的标准，包括URLScan页面相似性中最古老的域名和我们搜索标准中最古老的域名theamerica饶恕[。]com，注册电子邮件地址为onostboy1@gmail[。]com和一份未经修订的WHOIS记录显示注册人位于尼日利亚伊巴丹。搜索这个用户名，就会发现社交媒体网站Eskimi上的一个网页开发人员的个人资料，他的Twitter账户是@onostboy，名字是Tosyno，住在尼日利亚伊巴丹。伊巴丹市是一个小型的农村城镇，这使得注册信息脱颖而出，因为几乎所有尼日利亚域名的技术联系都位于首都和技术中心拉各斯。进一步搜索发现，同一用户名参与了网络犯罪论坛、Steam游戏和其他社交媒体网站的销售。

转到先前的地址goldenwaves247@gmail[。]com披露了一些域名，包括Dasani，斐济和激浪品牌网站，这些网站似乎在为各种促销计划招募人员，以换取金钱，一个假的英国银行网站natwestukbank[。com，最后一个网站的域名是goldenwavesng[。在2018年底私有化之前，该网站在WHOIS的历史记录中包含了这封邮件。这是GoldenWaves Innovations的网站，这是一家位于尼日利亚伊巴丹的技术公司，DomainTool乐动体育官网下载s的研究人员以中等信心假设它是身份文件收集网站前面的合法网站设计公司。

阅读GoldenWaves Innovations页面上的信息，我们可以看到他们声称在尼日利亚政府的公司事务委员会(CAC)注册。在ng-check上搜索该公司名称。乐动体育官网下载我们可以看到，金波创新确实有一个有效的注册，该公司的CEO的名字与WHOIS详细信息相匹配，并在LinkedIn上声称是该公司的CEO。乐动体育官网下载虽然该公司是在2016乐动体育官网下载年2月注册的，但他们的注册目前是不活跃的。

此外，WHOIS的历史记录揭示了一个地址在纽约，纽约，E 87街120号。这是曼哈顿中心的一栋公寓大楼，公寓价格从90万美元到1300万美元不等。乍一看，这对一家总部位于尼日利亚的公司来说似乎很奇怪，但我们可以从LinkedI乐动体育官网下载n上看到，该公司的一名开发人员声称住在纽约市。

查看CEO目前在LinkedIn上的联系信息，我们可以看到GoldenWaves Innovations在GoldenWaves [.]com[。ng，它也绑定到相同的电子邮件地址和注册信息。这让DomainTools的研究人员高度相信，所有这些证书收集网站都与尼日利亚的GoldenWaves Innovations有关。这些网站连同任何新出现的网站被报告给谷歌安全浏览进行屏蔽。

外卖

凭据收集活动仍然是攻击者获取合法合法文件的有效方式，他们可以转售或用于更复杂的行为。在寻求联邦援助时，那些最需要帮助的人可能并不总是完全知道援助是如何分配的。在《美国救援计划法案》的案例中，资金直接来自美国国税局，但毫无防备的受害者可能会被诱骗将身份证件上传到这些网站之一。

DomainTools研究人员建议安全团队利用内部被动DNS监控来提醒他们，如果新域的使用时间少于90天，而这些域的IP地址在云供应商的asn上作出响应。这是在您自己的网络上发现这些域的最有效方法。对于最终用户，DomainTools建议:

• 如果你遇到一个网站报告谷歌安全浏览，它将尽快被所有主要浏览器阻止。
• 向您的安全团队报告恶意网站，并附上钓鱼邮件，因为可能有针对您的员工的活动。
• 永远不要上传你的文件到一个你没有登录过的网站，尤其是一个自称是联邦网站却没有。gov域名的网站。

艾瑞斯·哈希斯负责狩猎

GoldenWaves创新域名和相关电子邮件

U2FsdGVkX1 + f4H5GPcY4qa4f5nIuj2vjMY / 8 shjz / tasRLRe / sgFkQzNfFJ7EGxjoQYYU9PCo3lgkhHJ / + kasE5i + pABVjFEiwQFQU8E8MVmoH7pPU / VD + JrcZaeh9ORBOtMN47ldF8oaaLz1Fp52q3DRvemgWYJdt + E7rc8aNgccpBGpZCVjP2Xm36kBmD7ri0IDeLGL5MiZ5R0L8Pxg4qFZF2vJYgiKa3h4eeUEm4bPxs7tJbgmHIX + HwUr6rjhEeAzcyOL0c847ytLxGiTZJax5OPdrsmace92PhGYV6AoMAfVve8Fw53obsSXhoJ978 + aU4NtLkjqeQgbG7q44YfOygSuWaGfceoztmLOezoprSehg8vkFtUKY / Ncntld8zXCXumOxHnxPgTihV5TtLdmtZtwydxT4A8Z8hqOJ5zJAAnyKMPOj7dbiYpfrhd44NMYMFpPhhmYoM96n7Q2kKGJrhGpKx5LglPzWFQd + x + kpYdPc87Y09fH / / oXwS3XzDclGxrOReJFBjfZVEvXhEs / 40 bz2n + ZSu6Ev4pTxQzL8luMSl0FtsKZPnGwF23TgIvYg8J5nSgtXFtpzYaQVe / o + aOz96o1pYoYdJ / NvAP6W3DXXb4OlwKEOguK0g8Ybz TLJ4t0NyEvQzRjM3oX2OsJZcq8X8XS3D6YxWDRaUo0tOF9xU21Y5DQ95YW5TjJZCCeU843hIXYx4JhiuMSsfOccvg9w4bcMf1SLh9GhWl8smOMzN + jTauOrUrx83aAP + AtO + QL + jLakVMxty9M0z + fiDGwX2iTtxUtCsRPTuKz2g52oq + gT0VqqQckXx

救济主题的域匹配注册和基础设施模式

U2FsdGVkX1 + QgEcPUsLxQS18UIt6kBbpnrhOiGN0x4ILTpIO3GBI29j + 7 / Vx6a / Lw82tvNHQEhbWPQEjCk2pCHkZz / aifZBM5pEmfiI9714onZV6wCqtj2tckgDbbctBsbhvVz1Nn84HviiGJvMcAnnhwD1 + eu0M /我+ TVwluTWmegtkBGmyHSlEmMncSA5t2ky2H2zUdlp1EuqBDQZ5D5lIdraKCDmSnbylkdoj8yutOL2fO6aQheEQE9D7VMUBFCc5ZqvAwbu1FCGs + tAf8mnq0KCz8NcmF + EMI67AvTa49s1G / gEmKqWzDZaevLcValq6GP3DgumCwAx1qjsMvzo81G7uuQbN4 / URGYtpYuS1wCCfLycvCJiQTwdo0j3R + R2lsUs2HuW / LAYrfu / 2 uwmu6q9plhrk51vwotkiqaerybzjrxc4rt / r3laBzHvstlKenfVs + QNGPYi4svx / UZ2MWbp + 3 hseyqlhtxp1dxm5ur36tlz9iB5uj26ajMtvGFpE0DJArQdUWQu0TYp4rQmgcOHkNi8aNaLMkmpFe8gQpB2K / fRn1UT3 / eDwdUscXTJl / FoAyQFrvRrbM + 8 zl1uxdehfxmm0ylg8jhk7dh0skbvzcexokwlyc51vnl0ss5vbeykiw6epqpmhaa6oog1aefdqxkwp29ykxtoqcvko3zu4osova2jlqxahh7jfndpetf9dpmtjjaddegv4bxosjlguofg4 / KqmsLZ J7p + BTWbiwO3NBBPFbx9zmTbU2Nd9uMqnK2BI4Zd15ElUmZXHwZKnMa2gX4 + h + M7GtZmdOf6QYcAFYML2bkzD2PCD

国际奥委会表