Η ομάδα “CashRewindo” χρησιμοποιεί παλιά domains σε παγκόσμιες καμπάνιες malvertising που οδηγούν σε ιστότοπους απάτης επενδύσεων.
Το malvertising συμβαίνει όταν οι εγκληματίες του κυβερνοχώρου εισάγουν κακόβουλο κώδικα JavaScript σε διαδικτυακές διαφημίσεις που εμφανίζονται σε ιστότοπους που διαχειρίζονται νόμιμα διαφημιστικά δίκτυα. Αυτό μπορεί να ξεγελάσει τους επισκέπτες του ιστότοπου ώστε να μεταβούν σε σελίδες που φιλοξενούν φόρμες phishing, κάνουν drop malware ή πραγματοποιούν απάτες.
Η ομάδα CashRewind έχει προσαρμόσει τη γλώσσα και το νόμισμα ώστε οι καμπάνιες malvertising να φαίνονται νόμιμες στο κοινό της Ευρώπης, της Βόρειας και Νότιας Αμερικής, της Ασίας και της Αφρικής.
Οι αναλυτές της Confiant παρακολουθούν την ομάδα “CashRewindo” εδώ και δύο χρόνια και αναφέρουν ότι αυτός ο απειλητικός φορέας είναι ασυνήθιστα επιδέξιος στη δημιουργία κακόβουλων διαφημιστικών επιχειρήσεων. Δίνουν μεγάλη προσοχή στη λεπτομέρεια.
Οι κομήτες έπαιξαν «μείζονα» ρόλο για τη ζωή στη Γη
Πεντάγωνο: Τι συμβαίνει με τα μυστήρια drones στο New Jersey
RT-G Robot: Νέα Εποχή στην Καταπολέμηση Εγκλήματος
Τα domain γίνονται καλύτερα όσο μεγαλώνουν
Οι κακοποιοί καταχωρούν domains και τα αφήνουν για χρόνια αχρησιμοποίητα με την ελπίδα να αποφύγουν την ανίχνευση από το λογισμικό ασφαλείας.
Αυτή η τεχνική λειτουργεί καθώς παλιά domain που δεν έχουν εμπλακεί σε κακόβουλη δραστηριότητα για μεγάλο χρονικό διάστημα κερδίζουν την εμπιστοσύνη του διαδικτύου, καθιστώντας απίθανο να επισημανθούν από τα εργαλεία ασφαλείας ως ύποπτα.
Δείτε επίσης: Microsoft Defender: Tamper protection για όλους από προεπιλογή
Σύμφωνα με την Confiant, η CashRewindo χρησιμοποιεί μόνο domain που έχουν παλαιώσει για τουλάχιστον δύο χρόνια πριν από την ενεργοποίησή τους (έχουν ενημερωθεί τα πιστοποιητικά τους και τους έχει εκχωρηθεί ένας εικονικός διακομιστής).
Η εταιρεία ασφάλειας κατάφερε να εντοπίσει τουλάχιστον 487 domains που χρησιμοποιούσε η συγκεκριμένη ομάδα. Ορισμένα από αυτά τα domains είχαν καταχωρηθεί από το 2008 και χρησιμοποιήθηκαν για πρώτη φορά το 2022.
Τα θύματα καταλήγουν σε αυτά τα sites κάνοντας κλικ σε μολυσμένες διαφημίσεις που βρίσκονται σε νόμιμους ιστότοπους.
Παγκόσμια αλλά ιδιαίτερα στοχευμένη
Η επιτυχία της CashRewindo οφείλεται στην ιδιαιτερότητά της – κάθε καμπάνια απευθύνεται σε ένα συγκεκριμένο κοινό. Αυτό σημαίνει ότι τα landing pages είτε αποκαλύπτουν την απάτη, είτε εμφανίζουν μια ανεπιτήδευτη σελίδα, είτε είναι κενές για τους χρήστες που δεν ταιριάζουν στο προφίλ-στόχο.
Αυτό γίνεται ελέγχοντας τη ζώνη ώρας, την πλατφόρμα της συσκευής και τη γλώσσα που χρησιμοποιείται στο σύστημα του επισκέπτη.
Δείτε επίσης: Trigona ransomware: Πραγματοποιεί επιθέσεις σε όλο τον κόσμο
Εάν χρήστες ή συσκευές που δεν ανήκουν στο κοινό-στόχο πατήσουν το κουμπί “Click Here”, θα ανακατευθυνθούν σε έναν ασφαλή και μη προσβλητικό ιστότοπο.
Οι έγκυροι στόχοι, από την άλλη πλευρά, θα εκτελέσουν κώδικα JavaScript με τον κακόβουλο κώδικα να κρύβεται μέσα σε μια κοινή βιβλιοθήκη για να αποφύγουν την επιθεώρηση αιτήματος.
Αυτοί οι χρήστες οδηγούνται σε ένα scam site και τελικά ανακατευθύνονται σε μια ψεύτικη πλατφόρμα επενδύσεων κρυπτονομισμάτων που υπόσχεται μη ρεαλιστικές αποδόσεις επένδυσης.
Η Confiant αναφέρει ότι έχει καταγράψει πάνω από 1,5 εκατομμύρια εμφανίσεις του CashRewindo τους τελευταίους 12 μήνες, με ιδιαίτερη έμφαση στις συσκευές Windows.
Οι επενδυτικές απάτες είναι ευρέως διαδεδομένες, αλλά συνήθως, οι απειλητικοί φορείς προτιμούν την ποσότητα από την ποιότητα, προωθώντας τους βιαστικά κατασκευασμένους ψεύτικους ιστότοπούς τους σε μεγάλες ομάδες χρηστών και φιλοξενώντας τις πλατφόρμες απάτης σε πρόσφατα εγγεγραμμένα domain που είναι καταδικασμένα να βγουν γρήγορα εκτός σύνδεσης.
Η μέθοδος της CashRewindo είναι πιο δύσκολη, αλλά αυξάνει σημαντικά τις πιθανότητες επιτυχίας για το άτομο που εκτελεί την απειλή.
Πηγή πληροφοριών: bleepingcomputer.com