據(jù)Bleeping Computer消息，同性戀應用程序Sniffies近日被黑灰產(chǎn)們盯上了。他們通過推銷各類詐騙和不安全的谷歌Chrome擴展程序域名來誘導用戶。在某些情況下，這些非法域名會啟動 Apple Music 應用程序，提示用戶購買訂閱，這反過來又會為攻擊者賺取傭金。

Sniffies是2018年面世的一款基于地圖的現(xiàn)代聚會應用程序，適用于男同性戀、雙性戀和對此感到好奇的用戶。該APP的核心特色是創(chuàng)建了一個豐富的，可在地圖上顯示附件用戶的界面，極大地方便人們尋找其他人，并迅速成為廣受歡迎的熱門工具，由此也引起了攻擊者的注意。

Sniffies被用于黑灰產(chǎn)

近段時間以來，安全研究人員觀察到，針對 Sniffies 網(wǎng)站和應用程序的黑灰產(chǎn)活動十分猖獗。白帽黑客Kody Kinzie表示自己至少發(fā)現(xiàn)了50多個域名是攻擊者假冒的，其中大多數(shù)都是Sniffies 品牌名稱的拼寫變體。

攻擊者創(chuàng)建這些假的域名，其目的就是為了引誘那些沒有認真區(qū)分 Sniffies 網(wǎng)站的用戶，而一旦用戶登陸訪問了這些虛假域名，那么很有可能會被執(zhí)行以下操作：

• 誘騙用戶安裝可疑的 Chrome 擴展程序；
• 通過網(wǎng)絡瀏覽器在Apple設備上啟動“音樂”應用程序；
• 誘騙用戶訪問虛假的技術“支持”詐騙網(wǎng)站；
• 誘騙用戶訪問虛假招聘網(wǎng)站。

舉個例子，當用戶訪問虛假域名后，會自動喚醒Apple Music 原生應用程序，提示用戶按月付費訂閱，而這將給黑灰產(chǎn)們帶來不菲的會員傭金。

Sniffies 的域名仿冒域名試圖啟動 Apple Music 原生應用

此外還有不安全的Google Chrome 擴展程序，用戶訪問后網(wǎng)站就會推薦安裝“ AdBlock Max - 刪除侵入性廣告”和“電影數(shù)據(jù)庫”等，但實際上這類拓展程序的最終目的是將用戶重定向至詐騙網(wǎng)站。

虛假的 Chrome 擴展程序

有意思的是，白帽黑客竟然在AdBlock Max中發(fā)現(xiàn)了一些廣告攔截代碼，但是想要依靠這些代碼來防御“侵入性廣告”無疑是徒勞的，反而給整個事件蒙極具“諷刺意味”。此外，不少擴展程序可能帶有不需要的功能，例如跟蹤功能等。

不僅僅是Sniffies

事實上，類似的黑灰產(chǎn)活動并非首次出現(xiàn)，相反這已經(jīng)成為攻擊者常用的手法，大量注冊知名品牌的相關域名，并以此引誘那些粗心的用戶。例如維珍航空的用戶可能一時無法辨認virginatlantc.com域名，其表現(xiàn)出的行為與Sniffies活動中的欺詐行為有非常多的相似之處，只不過針對 Sniffies.com 用戶的域數(shù)量更加龐大。

Kinzie 使用開源工具DNSTwist 被動生成 Sniffies.com 的排列，在該工具生成的 3531個域名列表中，有51個以Web應用程序命名的有效域，并指出雖然這些域名托管在隨機平臺上，但是很多域名注冊在同一個 MX 服務器上。

雖然Google瀏覽器對于這些不安全的域名會彈出安全警告，以此提醒用戶注意安全，但在實際過程中，還有很多Sniffies假冒域名并沒有被警告。近年來，這樣的假冒網(wǎng)站已呈現(xiàn)越來越的趨勢，其模擬程度也越來越逼真，使得用戶難以辨認真假。

參考來源：https://www.bleepingcomputer.com/news/security/gay-hookup-site-typosquatted-by-50-domains-to-push-dodgy-chrome-extensions/