Um ator de ameaças chamado Savvy Seahorse está abusando do sistema de registros CNAME de DNS (Sistema de Nomes de Domínios) para criar um sistema de distribuição de tráfego que alimenta campanhas de golpes financeiros.
O ator da ameaça visa as vítimas por meio de anúncios no Facebook que as direcionam para plataformas de investimento falsas onde são enganadas para depositar fundos e inserir dados pessoais sensíveis.
Um aspecto notável dessas campanhas é que elas envolvem chatbots que interagem diretamente com as vítimas para convencê-las de altos retornos de investimento, automatizando o processo de golpe para os atacantes.
Pesquisadores da Infoblox que descobriram essa operação dizem que ela está em andamento desde pelo menos agosto de 2021, se manifestando em ondas curtas de ataque que duram entre cinco e dez dias.
Savvy Seahorse usa de forma criativa os registros de Nome Canônico (CNAME) como um Sistema de Distribuição de Tráfego (TDS) para suas operações, permitindo que os atores da ameaça gerenciem facilmente as mudanças, como realizar rotação de IP que melhora a evasão de detecção.
Um registro CNAME é um registro de DNS que mapeia um domínio ou subdomínio para outro nome de domínio em vez de diretamente para um endereço IP.
Isso faz com que o CNAME atue como um alias para o domínio de destino, facilitando o gerenciamento de redirecionamentos e garantindo que quaisquer alterações no endereço IP do domínio alvo se apliquem automaticamente ao CNAME também.
Savvy Seahorse registra vários subdomínios para suas ondas de ataque que compartilham um registro CNAME comum vinculando-o ao domínio primário/base da campanha, por exemplo, "b36cname[.]site".
Isso permite que todos esses registros CNAME tenham o mesmo endereço IP herdados do subdomínio no b36cname[.]site, conforme ilustrado abaixo.
Essa técnica torna possível alternar para novos destinos quando o software de segurança bloqueia um endereço IP específico ou para evitar detecção sem alterar as configurações de DNS do domínio de ataque.
A Infoblox diz que este é o primeiro caso de abuso de CNAME de DNS para TDS relatado publicamente, embora provavelmente não seja a primeira vez que isso aconteceu, por isso decidiram nomear o método de 'CNAME TDS'.
"Savvy Seahorse é o primeiro ator de ameaça divulgado publicamente que abusa de CNAMEs de DNS como parte de um TDS mal-intencionado", explica a Infoblox.
"Embora isso exija mais sofisticação em DNS por parte do ator da ameaça, isso não é incomum - simplesmente não reconhecido até agora na literatura de segurança."
Usando algoritmos de geração de domínio (DGA), Savvy Seahorse cria e gerencia milhares de domínios utilizados no sistema CNAME TDS.
O ator da ameaça usa respostas wildcard de DNS para alterar o status desses domínios de "estacionados", "em teste", e em "campanha ativa", tornando mais difícil o rastreamento e mapeamento de sua infraestrutura.
Além disso, ao contrário da maioria dos atores de ameaças, Savvy Seahorse espalha sua infraestrutura por vários registradores e provedores de hospedagem, o que ajuda a evitar a atribuição e alcançar resiliência operacional.
Savvy Seahorse promove golpes de investimento com iscas escritas em inglês, russo, polonês, italiano, alemão, francês, espanhol, tcheco e turco, indicando o alcance global de direcionamento do ator da ameaça.
Os subdomínios maliciosos utilizados nos ataques hospedam formulários de registro projetados para roubar as informações pessoais das vítimas enganadas.
Depois que esses dados são enviados, um domínio secundário valida a localização da vítima com base em seu endereço IP e a legitimidade das informações fornecidas e redireciona os usuários aprovados para uma plataforma de negociação falsa.
Aí, as vítimas podem escolher aumentar seus saldos de investimento usando cartões de crédito, criptomoedas e outros métodos de pagamento.
O vídeo a seguir demonstra uma dessas plataformas fraudulentas em detalhes:
Chatbots se passando como ChatGPT, WhatsApp e Tesla, entre outras entidades conhecidas, aumentam a suposta legitimidade e desempenham um papel vital no aspecto de engenharia social do ataque.
A Infoblox diz que as páginas maliciosas também usam rastreadores Meta Pixel para rastreamento de desempenho, o que provavelmente é usado para refinar táticas.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...