一伙名為“CashRewindo”的狡猾的威脅分子一直在使用“老舊”的域名來開展全球性惡意廣告活動，由此催生了多個投資詐騙網(wǎng)站。

惡意廣告是指在合法廣告網(wǎng)絡推廣的數(shù)字廣告中注入惡意JavaScript代碼，將網(wǎng)站訪客帶到含有網(wǎng)絡釣魚表單、投放惡意軟件或?qū)嵤_局的頁面。

CashRewindo惡意廣告活動遍布歐洲、北美、南美、亞洲和非洲，使用定制的語言和貨幣，以便在當?shù)厥鼙娍磥硎呛戏ㄕ?guī)的。

Confiant的分析師自2018年以來就一直在跟蹤分析“CashRewindo”，聲稱這伙威脅分子的特別之處在于采用了一種異常狡詐的方法，在策劃惡意廣告活動時非常注重細節(jié)。

域名越老越好

域名老化是指威脅分子注冊域名，過幾年后再使用，希望以此繞過安全平臺。

這種技術(shù)的工作原理是，長期未參與惡意活動的舊域名在互聯(lián)網(wǎng)上獲得信任，從而使它們不太可能被安全工具標記為可疑域名。

Confiant表示，CashRewindo使用的域名在被激活前至少已經(jīng)老化了兩年。被激活是指證書被更新，并被分配虛擬服務器。

這家安全公司發(fā)現(xiàn)了這伙威脅分子使用的至少487個域名，其中一些域名早在2008年就已注冊，在2022年首次使用。

受害者是在點擊合法網(wǎng)站上的受感染廣告后進入這些著陸網(wǎng)站的。

為了逃避合法網(wǎng)站上的“過激措辭”檢測，這伙威脅分子在無害的措辭與煽動性的措辭之間切換，通常小心翼翼地開展活動，然后切換到煽動性的廣告。

圖1. CashRewindo使用的混合廣告（來源：Confiant）

惡意廣告還有一個小紅圈，可以進一步迷惑計算機視覺檢測模塊，使模塊無法發(fā)現(xiàn)欺詐行為。

放眼全球，但頗有針對性

每次CashRewindo活動都針對特定的受眾，因此著陸頁面經(jīng)過配置后要么在有效目標面前顯示騙局，要么在無效目標面前顯示無害或空白的頁面。

圖2. 附有“點擊此處”按鈕的著陸頁面（來源：Confiant）

這是通過檢查訪客系統(tǒng)上使用的時區(qū)、設備平臺和語言來完成的。

目標受眾之外的用戶和設備點擊嵌入的“點擊此處”按鈕后，將被重定向到一個無害的網(wǎng)站。

另一方面，有效目標將執(zhí)行JavaScript代碼，惡意代碼則隱藏在公共庫里面，以逃避請求檢查。

圖3. 在有效目標上運行的惡意JS代碼片段（來源：Confiant）

這些用戶被帶到一個詐騙頁面，最終被重定向到一個虛假的加密貨幣投資平臺，該平臺承諾高得離譜的投資回報。

圖4. 欺詐投資網(wǎng)站（來源：Confiant）

Confiant聲稱，在過去的12個月里，該公司發(fā)現(xiàn)CashRewindo廣告印象超過了150萬次，主要針對Windows設備。

圖5. 被攻擊的平臺（來源：Confiant）

提到哪些國家?guī)淼膹V告印象最多，最常被攻擊的20個國家如下表所示。

表1. 最常被攻擊的20個國家（來源：Confiant）

投資詐騙活動普遍存在，但通常情況下，威脅分子更看重數(shù)量而非質(zhì)量，將粗制濫造的虛假網(wǎng)站推向大量用戶，并將詐騙平臺托管在近期注冊的注定很快就會下線的域名上。

CashRewindo則采用了一種不同的方法，需要更精心的設計，但也大大提高了這伙威脅分子得逞的機會。

任何保證有回報的投資機會都極有可能是騙局，所以應視之為大大的危險信號，在存入任何資金之前先進行一番廣泛的背景調(diào)查。

本文翻譯自：https://www.bleepingcomputer.com/news/security/crafty-threat-actor-uses-aged-domains-to-evade-security-platforms/