.
Um grupo de ameaças sofisticado e muito paciente por trás de um esquema global de malvertising está usando os chamados domínios antigos para contornar as ferramentas de segurança cibernética e capturar vítimas em golpes de investimento.
Os atacantes por trás da campanha CashRewindo operam de várias maneiras da mesma forma que outros criminosos de malvertising. Eles injetam código malicioso em anúncios digitais em redes de anúncios legítimas, usando os anúncios infectados para direcionar os visitantes do site para páginas que podem instalar malware ou executar golpes.
Os cibercriminosos que executam campanhas de malvertising normalmente criarão um domínio e o colocarão rapidamente em uso.
No entanto, CashRewindo tem domínios registrados há anos e deixados inativos, não os ativando – atualizando certificados e atribuindo um servidor virtual – até pouco antes de lançar a campanha de malvertising, segundo pesquisadores da Confiant, cujas ferramentas protegem a reputação online das empresas.
A Confiant tem rastreado o CashRewindo – que foi detectado pela primeira vez em 2018 – por dois anos, Daniel Fonseca Yarochewsky, engenheiro de software de segurança do fornecedor, escreveu em um relatório essa semana
Domínios antigos não são novos ou ilegais. Uma rápida pesquisa no Google mostra onde as pessoas podem comprar domínios abandonados, que ainda têm muitos backlinks apontando para eles, antes de expirarem. As empresas menores os compram para lançar um site mais rapidamente e capturar o tráfego já associado ao domínio.
CashRewindo é paciente, envelhecendo os domínios antes de colocá-los em uso. Ao todo, a Confiant vinculou 486 domínios ao grupo, alguns deles registrados desde 2006, mas não ativados até este ano. Outros foram ativados semanas após Strong The One.
“Especulamos que eles os compram em mercados de construção de reputação ou esperam que envelheçam, provavelmente o primeiro”, escreveu Yarochewsky. “Sendo terceirizada ou não, essa técnica é capaz de contornar os sistemas de segurança que classificam o tempo de registro como respeitável.”
A técnica funciona porque tais domínios – sendo mais antigos sem histórico de atividade maliciosa – são confiáveis e, portanto, menos propensos a serem considerados suspeitos pelo software de segurança.
Melissa Bischoping, diretora de pesquisa de segurança de terminais da Tanium, disse Strong The One que a pesquisa mostra que pelo menos 20% dos domínios antigos podem ser classificados como suspeitos. Essas técnicas exigem um investimento de tempo e dinheiro por parte do invasor, que pode estar continuamente comprando e envelhecendo domínios em segundo plano enquanto executa outras operações nesse meio tempo.
Diante disso, é provável que a técnica seja usada por criminosos com operações de longo prazo ou por aqueles que estão envelhecendo os domínios para serem vendidos a outros grupos de ameaças, disse Bischoping.
“Um invasor que investe tempo no envelhecimento do domínio tem mais chances de executar uma operação estabelecida e mais sofisticada”, disse ela. “Como exemplo, o APT por trás da SolarWinds usou nomes de domínio de anos atrás em sua operação.”
Javvad Malik, defensor da conscientização de segurança da KnowBe4, disse Strong The One que “os criminosos geralmente configuram esses domínios ou perfis falsos em sites de mídia social como o LinkedIn e não fazem nada malicioso por longos períodos de tempo antes de realizarem suas ações. Isso destaca até onde os criminosos irão para evitar a detecção por tecnologias de segurança. “
A Confiant registrou mais de 1,5 milhão de impressões CashRewindo em 12 meses, com mais de três quartos atingindo dispositivos Windows. Os ataques do grupo atingiram mais de 100 países em toda a Europa, América do Norte e do Sul, África, Oriente Médio e Ásia. Os países com mais impressões foram da Europa Oriental.
As campanhas de malvertising da CashRewindo são adaptadas para regiões específicas, usando o idioma local, moeda e fotos colocadas na página, de acordo com Yarochewsky.
Os invasores não dependem apenas do envelhecimento do domínio para evitar a detecção. O grupo também alterna entre anúncios fraudulentos e palavras inócuas para evitar o acionamento de software que detecta “linguagem forte”, escreveu Yarochewsky. No início de uma campanha, CashRewindo usa anúncios inócuos antes de mudar para anúncios de “call-to-action” mais tarde.
Os invasores também colocam um pequeno círculo vermelho no meio das imagens para despistar as ferramentas de detecção de visão computacional. Além disso, eles têm como alvo vítimas específicas, determinadas pelo idioma, fuso horário e plataforma do dispositivo usado nos sistemas.
Se alguém que não faz parte do público-alvo clicar no botão “Clique aqui”, será direcionado para um site inócuo. As pessoas visadas que clicam no botão acionam o código JavaScript malicioso no WSS, outra etapa para evitar a detecção.
A partir daí, a vítima é enviada para uma página fraudulenta e, em seguida, redirecionada para uma plataforma que vende investimentos falsos em criptomoedas.
Bischoping, da Tanium, disse que a proteção contra tal campanha exige uma combinação de ferramentas, desde firewalls de última geração e filtragem de DNS até proteção contra ameaças de e-mail e feeds de inteligência de ameaças. ®
.
