一群被称为“CashRewindo”的狡猾威胁行为者一直在使用“旧”域运行全球恶意广告活动,催生了多个投资欺诈网站。恶意广告是指将恶意JavaScript代码注入合法广告网络推广的数字广告中,以将网站访问者引导至包含网络钓鱼表单、传播恶意软件或进行诈骗的页面。CashRewindo恶意广告活动遍布欧洲、北美和南美、亚洲和非洲,使用定制的语言和货币以向当地受众显示合法。自2018年以来一直在跟踪CashRewindo的Confiant分析师声称,使威胁行为者与众不同的是一种异常狡猾的方法,在计划恶意广告活动时非常注重细节。域名越老越好域名老化是指威胁注册域名并在几年后使用,希望绕过安全平台。这种技术之所以奏效,是因为长期未参与恶意活动的旧域在Internet上获得信任,使它们不太可能被安全工具标记为可疑。Confiant表示,CashRewindo使用的域名在激活前至少已老化两年。激活意味着证书已更新并分配给虚拟服务器。这家安全公司发现至少有487个域被威胁行为者使用,其中一些早在2008年就注册了,并在2022年首次使用。受害者在合法网站上点击受感染的广告后登陆这些登陆站点。为了避免在合法网站上检测到“压倒性的词语”,威胁行为者在无伤大雅和煽动性言论之间切换,通常在转向煽动性广告之前谨慎地发起他们的活动。图1.CashRewindo使用的混合广告(来源:Confiant)该恶意广告还有一个小红圈,可以进一步混淆计算机视觉检测模块,使该模块无法检测到欺诈行为。全球但有针对性每个CashRewindo活动都针对特定的受众,因此登录页面被配置为在面对有效目标时显示骗局,或者在面对无效目标时显示无害或空白页面。图2.附有“单击此处”按钮的登录页面(来源:Confiant)这是通过检查访问者系统上使用的时区、设备平台和语言来完成的。单击嵌入式“单击此处”按钮的目标受众之外的用户和设备将被重定向到一个无害的网站。另一方面,有效目标将执行JavaScript代码,而恶意代码则隐藏在公共库中以逃避请求检查。图3.在有效目标上运行的恶意JS代码片段(来源:Confiant)这些用户被带到一个骗局页面,并最终被重定向到一个虚假的加密货币投资平台,该平台承诺高得离谱的投资回报。图4.欺诈性投资网站(来源:Confiant)Confiant声称,在过去12个月中,它看到了超过150万次CashRewindo广告印象,主要针对Windows设备。图5.受攻击平台(来源:Confiant)提及哪些国家/地区带来的广告印象最多,下表显示了前20个受攻击最多的国家/地区。表1.受攻击最严重的20个国家(来源:Confiant)很快下线。CashRewindo采用不同的方法,需要更仔细的设计,但大大增加了威胁参与者的成功机会。任何保证回报的投资机会很可能是骗局,因此请将此视为一个大危险信号,并在存入任何资金之前进行广泛的背景调查。本文翻译自:https://www.bleepingcomputer.com/news/security/crafty-threat-actor-uses-aged-domains-to-evade-security-platforms/
