Astuto actor de amenazas usa dominios "antiguos" para evadir la seguridad

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un actor de amenazas sofisticado llamado 'CashRewindo' ha estado utilizando dominios 'antiguos' en campañas globales de publicidad maliciosa que conducen a sitios de estafas de inversión.

La publicidad maliciosa implica la inyección de código JavaScript malicioso en anuncios digitales promovidos por redes de publicidad legítimas, lo que lleva a los visitantes del sitio web a páginas que alojan formularios de phishing, colocan malware u operan estafas.

Las campañas de publicidad maliciosa de CashRewindo se distribuyen por Europa, América del Norte y del Sur, Asia y África, y utilizan un idioma y una moneda personalizados para parecer legítimos ante la audiencia local.

Los analistas de Confiant han estado rastreando 'CashRewindo' desde 2018 e informan que el actor de amenazas se destaca por un enfoque inusualmente astuto para configurar operaciones de publicidad maliciosa con gran atención a los detalles.

Los dominios mejoran con la edad

El envejecimiento del dominio es cuando los actores de amenazas registran dominios y esperan años para usarlos, con la esperanza de eludir las plataformas de seguridad.

Esta técnica funciona cuando los dominios antiguos que no han estado involucrados en actividades maliciosas durante mucho tiempo ganan confianza en Internet, por lo que es poco probable que las herramientas de seguridad los marquen como sospechosos.

Confiant dice que CashRewindo usa dominios que han envejecido durante al menos dos años antes de que se activen (tienen sus certificados actualizados y un servidor virtual asignado).

La empresa de seguridad pudo identificar al menos 487 dominios utilizados por el actor de amenazas en particular, algunos registrados desde 2008 y utilizados por primera vez en 2022.

Las víctimas terminan en estos sitios de destino al hacer clic en anuncios infectados que se encuentran en sitios legítimos.

Para evadir la detección de "lenguaje fuerte" en sitios legítimos, el actor de amenazas alterna entre palabras inocuas y de llamado a la acción, por lo general, comienza la campaña con cuidado y luego cambia a anuncios de llamado a la acción.

Combinación de anuncios utilizados por CashRewindo (Confiant)
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los anuncios maliciosos también presentan un pequeño círculo rojo que ayuda a confundir los módulos de detección de visión por computadora para que no puedan detectar el fraude.

Global pero muy específico

Cada campaña de CashRewindo se dirige a un público en particular, por lo que las páginas de destino están configuradas para mostrar la estafa o una página inocua o en blanco para objetivos no válidos.

Landing page con botón 'clic aquí' (Confiant)
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Esto se hace comprobando la zona horaria, la plataforma del dispositivo y el idioma utilizado en el sistema del visitante.

Los usuarios y dispositivos fuera del público objetivo que hagan clic en el botón incrustado "Haga clic aquí" serán redirigidos a un sitio inocuo.

Los objetivos válidos, por otro lado, ejecutarán código JavaScript con el código malicioso escondido dentro de una biblioteca común para evadir la inspección de solicitudes.

Fragmento JS malicioso que se ejecuta en objetivos válidos (Confiant)
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Esos usuarios son llevados a una página de estafa y, finalmente, redirigidos a una plataforma de inversión de criptomoneda falsa que promete rendimientos de inversión poco realistas.

Sitio de inversiones fraudulentas (Confiant)
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Confiant informa que durante 12 meses, ha registrado más de 1,5 millones de impresiones de CashRewindo, principalmente dirigidas a dispositivos Windows.

En cuanto a los países que generan la mayoría de estas impresiones, las 20 ubicaciones más segmentadas se muestran en la siguiente tabla.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Las estafas de inversión están muy extendidas, pero, por lo general, los actores de amenazas prefieren la cantidad a la calidad, empujando sus sitios falsos creados apresuradamente a grandes grupos de usuarios y alojando las plataformas de estafa en dominios registrados recientemente condenados a desconectarse rápidamente.

CashRewindo sigue un enfoque diferente que requiere más trabajo, pero mejora significativamente las posibilidades de éxito para el actor de amenazas.


Cualquier oportunidad de inversión que garantice ganancias es probablemente una estafa, así que trátelo como una gran señal de alerta y realice una verificación exhaustiva de antecedentes antes de depositar fondos.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta