Домены с большой «выдержкой» обходят средства защиты и нацелены на определенных жертв.
Исследователи Confiant обнаружили , что очень терпеливая группа хакеров использует устаревшие домены, чтобы обходить инструменты защиты и проводить мошеннические кампании.
В ходе кампании CashRewindo киберпреступники внедряют вредоносный код в онлайн-рекламу на легитимных сайтах, чтобы направлять посетителей сайта на страницы, которые могут устанавливать вредоносное ПО или проводить мошенничество с инвестициями в криптовалюту.
Обычно мошенники, которые проводят кампании по распространению вредоносной рекламы, раскручивают домен и быстро вводят его в действие. Но CashRewindo использует домены, которые были зарегистрированы много лет назад и оставались бездействующими.
Эксперты Confiant приписали хакерам 486 доменов, некоторые них были зарегистрированы еще в 2006 году, но не были активированы до сих пор. Другие были активированы через несколько недель после регистрации.
Исследователи предполагают, что либо злоумышленники покупают домены на рынках, либо ждут, пока они устареют. Это позволяет хакерам обойти системы безопасности, которые классифицируют домены как надежные из-за времени их регистрации. Старые домены без истории вредоносной активности считаются доверенными и с меньшей вероятностью будут считаться подозрительными.
Злоумышленники полагаются не только на возраст домена, чтобы избежать обнаружения. Хакеры также переключаются между мошенническими объявлениями и безобидными формулировками, чтобы избежать срабатывания средств обнаружения «ненормативной лексики». В начале кампании CashRewindo использует безобидную рекламу, а затем переключается на рекламу с призывом к действию.
Примеры вредоносной рекламы CashRewindo
Злоумышленники также помещают небольшой красный кружок в изображение, чтобы отключить средства обнаружения компьютерного зрения.
Красный кружок на изображении
Confiant зафиксировал более 1,5 млн. показов вредоносной рекламы CashRewindo за 12 месяцев, причем более 75% приходится на устройства Windows. Атаки группы затронули более 100 стран Европы, Америки, Африки, Ближнего Востока и Азии. Большинство атак затронули страны Восточной Европы. По словам экспертов, кампании по вредоносной рекламе CashRewindo ориентированы на конкретные регионы, используя местный язык, валюту и фотографии, размещенные на странице.
Пользователь не из целевой «аудитории» при нажатии на рекламу перенаправляется на безобидный легитимный сайт. А целевые жертвы после нажатия на кнопку запускают вредоносный код JavaScript, что является еще одним способом уклонения от обнаружения. Далее жертва перенаправляется на мошенническую инвестиционную платформу.
Исследователи кибербезопасности из ИБ-компании Tanium Мелисса Бишопинг сказала, что для защиты от такой кампании требуется комбинация инструментов, от брандмауэров нового поколения и DNS-фильтрации до защиты электронной почты от угроз и каналов сбора информации об угрозах.