Домены с большой «выдержкой» обходят средства защиты и нацелены на определенных жертв.
Исследователи Confiant Для просмотра ссылки Войди
В ходе кампании CashRewindo киберпреступники внедряют вредоносный код в онлайн-рекламу на легитимных сайтах, чтобы направлять посетителей сайта на страницы, которые могут устанавливать вредоносное ПО или проводить мошенничество с инвестициями в криптовалюту.
Обычно мошенники, которые проводят кампании по распространению вредоносной рекламы, раскручивают Для просмотра ссылки Войди
Эксперты Confiant приписали хакерам 486 доменов, некоторые них были зарегистрированы еще в 2006 году, но не были активированы до сих пор. Другие были активированы через несколько недель после регистрации.
Исследователи предполагают, что либо злоумышленники покупают домены на рынках, либо ждут, пока они устареют. Это позволяет хакерам обойти системы безопасности, которые классифицируют домены как надежные из-за времени их регистрации. Старые домены без истории вредоносной активности считаются доверенными и с меньшей вероятностью будут считаться подозрительными.
Злоумышленники полагаются не только на возраст домена, чтобы избежать обнаружения. Хакеры также переключаются между мошенническими объявлениями и безобидными формулировками, чтобы избежать срабатывания средств обнаружения «ненормативной лексики». В начале кампании CashRewindo использует безобидную рекламу, а затем переключается на рекламу с призывом к действию.
Примеры вредоносной рекламы CashRewindo Злоумышленники также помещают небольшой красный кружок в изображение, чтобы отключить средства обнаружения компьютерного зрения.
Красный кружок на изображении Confiant зафиксировал более 1,5 млн. показов вредоносной рекламы CashRewindo за 12 месяцев, причем более 75% приходится на устройства Windows. Атаки группы затронули более 100 стран Европы, Америки, Африки, Ближнего Востока и Азии. Большинство атак затронули страны Восточной Европы. По словам экспертов, кампании по вредоносной рекламе CashRewindo ориентированы на конкретные регионы, используя местный язык, валюту и фотографии, размещенные на странице.
Пользователь не из целевой «аудитории» при нажатии на рекламу перенаправляется на безобидный легитимный сайт. А целевые жертвы после нажатия на кнопку запускают вредоносный код [URL='/glossary/JavaScript/" class="glossary" data-content="JavaScript – это язык программирования, с помощью которого web-страницам придается интерактивность. С его помощью создаются приложения, которые включаются в HTML-код. Вся уникальность данного языка программирования заключается в том, что он поддерживается практически всеми браузерами и полностью интегрируется с ними.
" data-html="true" data-original-title="JavaScript" >JavaScript[/URL] , что является еще одним способом уклонения от обнаружения. Далее жертва перенаправляется на мошенническую инвестиционную платформу.
Исследователи кибербезопасности из ИБ-компании Tanium Мелисса Бишопинг сказала, что для защиты от такой кампании требуется комбинация инструментов, от брандмауэров нового поколения и DNS-фильтрации до защиты электронной почты от угроз и каналов сбора информации об угрозах.
- Источник новости
- https://www.securitylab.ru/news/535101.php