复杂威胁者 CashRewindo 的恶意广告活动

关键要点

• CashRewindo 通过使用老旧域名来规避安全工具的检测。
• 被使用的域名有时早在 2008 年就已注册，但直到今年才被投入使用。
• 悄然变化的广告语言和小红圈设计帮助恶意广告绕过检测。
• 美国是受到影响的国家之一，攻击主要针对 Windows 设备。

最近，恶意广告活动的攻击目标包括北美、南美、欧洲、非洲和亚洲等地区，实施者是名为 CashRewindo 的复杂威胁者。根据 的报告，CashRewindo利用至少注册两年以上的域名，这些域名在获更新其证书和虚拟服务器后被投入使用。Confiant 的报告表明，这一策略是为了躲避安全工具的检测。

根据数据，CashRewindo 至少使用了 487 个域名，其中一些早在 2008年就已注册，但直到今年才开始作用。针对这些恶意域名的感染广告被发现采用了 tonalshifts，目的是为了避免网站上使用“强语言”时引起的检测异常。与此同时，恶意广告还设计了一个微小的红色圆圈，以绕过欺诈检测。此外，CashRewindo的诈骗策略还根据不同的受众进行配置，显示出其高度的定制能力。

受影响的地区

通过这些复杂的手段，CashRewindo 的恶意广告活动在 Windows设备上造成了显著影响。安全专家建议用户在浏览时保持警惕，并采取额外的安全措施以防范此类攻击。