Azure-domeinen en Google misbruikt om desinformatie en malware te verspreiden

Een slimme desinformatiecampagne maakt gebruik van verschillende Microsoft Azure en OVH-cloudsubdomeinen en Google-zoekresultaten om schadelijke software en spamsites te promoten.

Android-gebruikers ontvangen een Google-zoekmelding “nieuwe info gerelateerd aan…” over een onderwerp waar ze eerder naar hebben gezocht, maar worden vervolgens gepresenteerd met misleidende zoekresultaten, waardoor verkeer naar scamsites wordt geleid die zich voordoen als infotainmentartikelen.

Vervuilde zoekresultaten triggeren een mobiele melding

Niemand weet wie de uitspraak “Als je een grote leugen blijft vertellen en herhalen, zullen mensen hem uiteindelijk geloven” heeft gedaan, maar het lijkt de desinformatiecampagne die recentelijk is opgekomen, te hebben aangewakkerd.

Eerder deze week werd ik begroet met een Google-zoekmelding op mijn Android-telefoon met de mededeling “nieuwe info gerelateerd aan Harry Connick, Jr,” de Find Me Falling-acteur die ik onlangs had opgezocht.

Google-zoekmelding voor Harry Connick Jr 'beroerte'
Google-zoekmelding voor Harry Connick Jr “beroerte”
(BleepingComputer)

Bij het klikken op de melding zag ik niet één, maar meerdere websites die hetzelfde bericht herhaalden: “Het ontrafelen van de waarheid over Harry Connick Jr.’s beroerte: Een reis van veerkracht en herstel.”

De reden waarom Google deze melding “nieuwe info gerelateerd aan” oorspronkelijk verzond? Google-zoekresultaten zijn vervuild door tientallen domeinen gehost op clouddiensten zoals Microsoft Azure blob storage en OVH die deze desinformatie verspreiden.

Verschillende door Azure en OVH gehoste sites die desinformatie verspreiden
Verschillende door Azure en OVH gehoste sites die desinformatie verspreiden(BleepingComputer)

Wanneer Google detecteert dat verschillende van dergelijke websites “nieuwe info” publiek maken over een publiek figuur, kan het zijn dat de algoritmes dit zo behandelen en gebruikers die eerder naar een entiteit hebben gezocht, hiervan op de hoogte stellen.

Ironisch genoeg bespreken veel van deze artikelen een “gerucht” over de gezondheid van de beroemdheid, en verspreiden zo dat gerucht, aangezien geen andere geloofwaardige nieuwsbronnen dergelijke beweringen lijken te doen over Harry Connick, Jr.

BleepingComputer nam contact op met de vertegenwoordigers van Harry Connick, Jr in een poging hen bewust te maken van deze desinformatiecampagne.

We ontdekten verder dat deze campagne niet beperkt was tot één persoonlijkheid maar gericht was op verschillende publieke figuren, waaronder Bill Paxton, Carol Burnett, Eminem, Tom Hardy, Randy Travis, Sinbad, Kim Porter en Megan Fox.

Sites leiden bezoekers om naar malware, spam

Deze ongefundeerde artikelen beweren ofwel dat de genoemde beroemdheden onlangs een “beroerte” hebben gehad of concluderen dat er geen “officiële” bevestiging is over de genoemde persoonlijkheid die lijdt aan dergelijke gezondheidsproblemen.

Dat wil zeggen, wanneer deze artikelen worden bekeken met een adblocker ingeschakeld.

Anders is het enige doel van deze webpagina’s om bezoekers door een reeks hoepels te leiden naar online eigendommen die uiteindelijk schadelijke software, spam en vervalste software duwen.

Bijvoorbeeld, de link op het volgende adres, gehost op Microsoft’s *.blob.core.windows.net

hxxps://celebradar.blob.core.windows[.]net/celebnetwork15/harry-connick-junior-stroke.html

werd waargenomen bij het omleiden naar een dubieuze videoadblocker[.]pro domein dat gebruikers vraagt een “Eclipse Ad Blocker” Chrome-extensie te installeren:

Domeinen die twijfelachtige Chrome-extensies pushen
Domeinen die twijfelachtige Chrome-extensies pushen(BleepingComputer)

We zagen vergelijkbare advertenties draaien op andere domeinen, waarbij sommige nep “Norton” en “McAfee” viruswaarschuwingen duwden.

Nep 'Norton' viruswaarschuwingen
Nep ‘Norton’ viruswaarschuwingen (BleepingComputer)
Nep 'Adobe Flash Player' advertentie
Nep ‘Adobe Flash Player’ advertentie gepushed door deze domeinen
(BleepingComputer)

We zagen veel van deze domeinen advertentiescripts insluiten zoals hxxps://moremashup[.]com/js/ads.js

Sommige hiervan gingen nog een stap verder en injecteerden één-regel verdoezelde scripts op de pagina, van bijvoorbeeld hxxps://satisfactorymetalrub[.]com/8438b16ee31e72c66f3abda855a57488/invoke.js

Geïnjecteerd verdoezeld één-regel script
Verdoezelde één-regel JavaScript geïnjecteerd door ingesloten scripts (BleepingComputer)

Sommige van de URL’s geassocieerd met deze desinformatiecampagne die door BleepingComputer zijn geïdentificeerd staan hieronder vermeld:


hxxps://cancerresearch.blob.core.windows[.]net/breakthrough/carol-burnett-stroke.html
hxxps://celebradar.blob.core.windows[.]net/celebnetwork2/bill-paxton-wife-louise-newbury-death.html
hxxps://applebulletin.blob.core.windows[.]net/bergenews5/is-randy-travis-dead.html
hxxps://celebradar.blob.core.windows[.]net/celebnetwork15/tarrare-death-cause.html
hxxps://newscentralstation.blob.core.windows[.]net/channel10/steve-harvey-accident.html
hxxps://celebradar.blob.core.windows[.]net/celebnetwork13/who-is-tom-hardy-married-to.html
hxxps://celebradar.blob.core.windows[.]net/celebnetwork15/mikayla-campinos-leakd.html
hxxps://celebradar.blob.core.windows[.]net/celebnetwork5/sinbads-children.html
hxxps://celebradar.blob.core.windows[.]net/celebnetwork12/was-kim-porter-mixed.html
hxxps://celebradar.blob.core.windows[.]net/celebnetwork12/donnie-and-jenny-divorce-2024.html
hxxps://sopnews.blob.core.windows[.]net/jazz8/michael-c-hall-height.html
hxxps://celebradar.blob.core.windows[.]net/celebnetwork13/did-chris-change-his-name.html
hxxps://flashnews2.s3.uk.io.cloud.ovh[.]net/harry-connick-jr-stroke.html
hxxps://ashghali[.]com/automotive8/did-harry-connick-jr-have-a-stroke.html
hxxps://globalinternationalnews.blob.core.windows[.]net/globalinternationalnews3/harry-connick-jr-stroke.html
hxxps://interestnews.blob.core.windows[.]net/topictribune3/harry-connick-jr-stroke.html


Lezers moeten zich onthouden van het bezoeken van zoekresultaten die wijzen naar bovengenoemde URL-structuren, vooral wanneer deze lijken gedurfde, niet-geverifieerde beweringen te bevatten over publieke figuren en entiteiten die anderszins niet worden vermeld door geloofwaardige bronnen.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----