「CashRewindo」という巧妙な脅威アクターは、投資詐欺サイトにつながるグローバルなマルバタイジング キャンペーンで「古い」ドメインを使用しています。
マルバタイジングには、正当な広告ネットワークによって促進されるデジタル広告への悪意のある JavaScript コードの挿入が含まれ、Web サイトの訪問者を、フィッシング フォームをホストするページ、マルウェアをドロップするページ、または詐欺を実行するページに誘導します。
CashRewindo のマルバタイジング キャンペーンは、ヨーロッパ、南北アメリカ、アジア、アフリカに広がっており、カスタマイズされた言語と通貨を使用して、現地の視聴者には正当に見えるようにしています。
Confiantのアナリストは 2018 年から「CashRewindo」を追跡しており、この脅威アクターは、細部に細心の注意を払って悪意のある広告操作を設定するという非常に狡猾なアプローチで際立っていると報告しています。
ドメインは年齢とともに良くなる
ドメインの老化とは、脅威アクターがドメインを登録し、セキュリティ プラットフォームを迂回することを期待して、ドメインを使用するまで何年も待つことです。
この手法は、長い間悪意のあるアクティビティに関与していない古いドメインがインターネット上で信頼を獲得し、セキュリティ ツールによって疑わしいとしてフラグ付けされる可能性が低くなるため機能します。
Confiant 氏によると、CashRewindo は、アクティブ化される (証明書が更新され、仮想サーバーが割り当てられる) 前に少なくとも 2 年間経過したドメインを使用しています。
セキュリティ会社は、特定の脅威アクターによって使用された少なくとも 487 のドメインを特定することができました。一部は 2008 年に登録され、2022 年に初めて使用されました。
被害者は、正規のサイトにある感染した広告をクリックして、これらのランディング サイトにたどり着きます。
正当なサイトでの「強い言葉」の検出を回避するために、攻撃者は無害な言葉遣いと行動を促す言葉を切り替えます。通常はキャンペーンを慎重に開始し、後で行動を促す広告に切り替えます。
悪意のある広告には、コンピューター ビジョン検出モジュールを混乱させて詐欺を検出できないようにする小さな赤い円も含まれています。
グローバルだが高度にターゲットを絞った
各 CashRewindo キャンペーンは特定のオーディエンスをターゲットにしているため、ランディング ページは、詐欺を表示するか、無効なターゲットに対して無害または空白のページを表示するように構成されています。
これは、訪問者のシステムで使用されているタイムゾーン、デバイス プラットフォーム、および言語をチェックすることによって行われます。
埋め込まれた「ここをクリック」ボタンをクリックする対象外のユーザーとデバイスは、無害なサイトにリダイレクトされます。
一方、有効なターゲットは、悪意のあるコードを共通ライブラリ内に隠して JavaScript コードを実行し、リクエストの検査を回避します。
これらのユーザーは詐欺ページに誘導され、最終的に非現実的な投資収益を約束する偽の仮想通貨投資プラットフォームにリダイレクトされます。
Confiant は、主に Windows デバイスをターゲットとして、12 か月間で 150 万回以上の CashRewindo インプレッションを記録したと報告しています。
これらのインプレッションが最も多い国について、最もターゲットにされた場所の上位 20 を下の表に示します。
投資詐欺は蔓延していますが、通常、攻撃者は質よりも量を好み、急いで作成した偽のサイトを多数のユーザーにプッシュし、最近登録されたドメインで詐欺プラットフォームをホストして、すぐにオフラインになる運命にあります.
CashRewindo は、より多くの作業を必要とする別のアプローチに従いますが、攻撃者の成功の可能性を大幅に高めます。
リターンを保証する投資機会はすべて詐欺である可能性が高いため、これを大きな危険信号として扱い、資金を入金する前に広範なバックグラウンド チェックを実行してください。
Comments