一个名为“CashRewindo”的老练威胁参与者一直在全球恶意广告活动中使用“老化”域,这些活动导致投资诈骗网站。
恶意广告涉及在合法广告网络推广的数字广告中注入恶意 JavaScript 代码,将网站访问者带到托管网络钓鱼表单、投放恶意软件或进行诈骗的页面。
CashRewindo 恶意广告活动遍布欧洲、北美和南美、亚洲和非洲,使用定制的语言和货币在当地观众看来是合法的。
Confiant的分析师 自 2018 年以来一直在跟踪“CashRewindo”,并报告称,该威胁行为者以一种异常狡猾的方法在设置恶意广告操作时非常注重细节。
域名随着年龄的增长而变得更好
域老化 是指威胁行为者注册域并等待数年才能使用它们,以期绕过安全平台。
这种技术的工作原理是,长期未参与恶意活动的旧域在 Internet 上赢得信任,使它们不太可能被安全工具标记为可疑。
Confiant 说,CashRewindo 使用的域在激活之前已经老化至少两年(更新证书并分配虚拟服务器)。
该安全公司能够识别特定威胁参与者使用的至少 487 个域,其中一些域早在 2008 年就已注册,并在 2022 年首次使用。
受害者通过点击在合法网站上发现的受感染广告而最终进入这些登陆网站。
为了逃避合法网站上的“强语言”检测,威胁行为者在无伤大雅和号召性用语之间来回切换,通常是谨慎地开始活动,然后再切换到号召性用语广告。
恶意广告还带有一个小红圈,有助于混淆计算机视觉检测模块,使它们无法捕捉到欺诈行为。
全球性但高度针对性
每个 CashRewindo 活动都针对特定的受众,因此登陆页面被配置为显示欺诈或针对无效目标的无害或空白页面。
这是通过检查访问者系统上使用的时区、设备平台和语言来完成的。
单击嵌入式“单击此处”按钮的目标受众之外的用户和设备将被重定向到一个无害的站点。
另一方面,有效目标将执行 JavaScript 代码,恶意代码隐藏在公共库中以逃避请求检查。
这些用户被带到一个骗局页面,并最终被重定向到一个承诺不切实际投资回报的虚假加密货币投资平台。
Confiant 报告说,在 12 个月的时间里,它记录了超过 150 万次 CashRewindo 印象,主要针对 Windows 设备。
至于哪些国家/地区带来了最多的印象,下表显示了前 20 个最有针对性的位置。
投资诈骗很普遍,但通常情况下,威胁行为者更看重数量而不是质量,将他们仓促制作的虚假网站推向大量用户,并将诈骗平台托管在最近注册的域名上,这些域名注定会很快下线。
CashRewindo 采用了一种不同的方法,该方法需要更多工作,但显着提高了威胁参与者的成功机会。
任何保证回报的投资机会很可能是骗局,因此请将此视为一个大危险信号,并在存入任何资金之前进行广泛的背景调查。
