狡猾的威胁分子使用“老旧”的域名来逃避安全平台

安全
一伙名为“CashRewindo”的狡猾的威胁分子一直在使用“老旧”的域名来开展全球性恶意广告活动,由此催生了多个投资诈骗网站。

一伙名为“CashRewindo”的狡猾的威胁分子一直在使用“老旧”的域名来开展全球性恶意广告活动,由此催生了多个投资诈骗网站。

恶意广告是指在合法广告网络推广的数字广告中注入恶意JavaScript代码,将网站访客带到含有网络钓鱼表单、投放恶意软件或实施骗局的页面。

CashRewindo恶意广告活动遍布欧洲、北美、南美、亚洲和非洲,使用定制的语言和货币,以便在当地受众看来是合法正规的。

Confiant的分析师自2018年以来就一直在跟踪分析“CashRewindo”,声称这伙威胁分子的特别之处在于采用了一种异常狡诈的方法,在策划恶意广告活动时非常注重细节。

域名越老越好

域名老化是指威胁分子注册域名,过几年后再使用,希望以此绕过安全平台。

这种技术的工作原理是,长期未参与恶意活动的旧域名在互联网上获得信任,从而使它们不太可能被安全工具标记为可疑域名。

Confiant表示,CashRewindo使用的域名在被激活前至少已经老化了两年。被激活是指证书被更新,并被分配虚拟服务器。

这家安全公司发现了这伙威胁分子使用的至少487个域名,其中一些域名早在2008年就已注册,在2022年首次使用。

受害者是在点击合法网站上的受感染广告后进入这些着陆网站的。

为了逃避合法网站上的“过激措辞”检测,这伙威胁分子在无害的措辞与煽动性的措辞之间切换,通常小心翼翼地开展活动,然后切换到煽动性的广告。

狡猾的威胁分子使用“老旧”的域名来逃避安全平台

图1. CashRewindo使用的混合广告(来源:Confiant)

恶意广告还有一个小红圈,可以进一步迷惑计算机视觉检测模块,使模块无法发现欺诈行为。

放眼全球,但颇有针对性

每次CashRewindo活动都针对特定的受众,因此着陆页面经过配置后要么在有效目标面前显示骗局,要么在无效目标面前显示无害或空白的页面。

狡猾的威胁分子使用“老旧”的域名来逃避安全平台

图2. 附有“点击此处”按钮的着陆页面(来源:Confiant)

这是通过检查访客系统上使用的时区、设备平台和语言来完成的。

目标受众之外的用户和设备点击嵌入的“点击此处”按钮后,将被重定向到一个无害的网站。

另一方面,有效目标将执行JavaScript代码,恶意代码则隐藏在公共库里面,以逃避请求检查。

狡猾的威胁分子使用“老旧”的域名来逃避安全平台

图3. 在有效目标上运行的恶意JS代码片段(来源:Confiant)

这些用户被带到一个诈骗页面,最终被重定向到一个虚假的加密货币投资平台,该平台承诺高得离谱的投资回报。

狡猾的威胁分子使用“老旧”的域名来逃避安全平台

图4. 欺诈投资网站(来源:Confiant)

Confiant声称,在过去的12个月里,该公司发现CashRewindo广告印象超过了150万次,主要针对Windows设备。

狡猾的威胁分子使用“老旧”的域名来逃避安全平台

图5. 被攻击的平台(来源:Confiant)

提到哪些国家带来的广告印象最多,最常被攻击的20个国家如下表所示。

狡猾的威胁分子使用“老旧”的域名来逃避安全平台

表1. 最常被攻击的20个国家(来源:Confiant)

投资诈骗活动普遍存在,但通常情况下,威胁分子更看重数量而非质量,将粗制滥造的虚假网站推向大量用户,并将诈骗平台托管在近期注册的注定很快就会下线的域名上。

CashRewindo则采用了一种不同的方法,需要更精心的设计,但也大大提高了这伙威胁分子得逞的机会。

任何保证有回报的投资机会都极有可能是骗局,所以应视之为大大的危险信号,在存入任何资金之前先进行一番广泛的背景调查。

本文翻译自:https://www.bleepingcomputer.com/news/security/crafty-threat-actor-uses-aged-domains-to-evade-security-platforms/

责任编辑:赵宁宁 来源: 嘶吼网
相关推荐

2024-01-03 17:32:53

2016-01-26 10:51:50

2022-06-14 07:17:43

Wazuh开源

2013-07-01 09:14:52

2017-09-06 16:38:20

2020-07-03 07:54:02

2014-07-08 09:18:31

2017-04-25 06:34:30

2021-03-16 10:36:38

网络钓鱼安全检测网络安全

2016-12-02 13:23:12

2014-08-12 13:52:20

2021-06-25 18:38:58

云主机

2013-08-08 17:19:40

2009-08-06 17:05:07

2015-04-22 15:24:31

2023-11-27 07:29:05

2022-09-02 14:34:34

网络安全勒索软件攻击

2022-03-29 14:35:17

企业安全方法混合劳动力

2021-05-25 05:48:13

信息安全勒索软件网络攻击

2015-06-10 13:20:00

点赞
收藏

51CTO技术栈公众号