Cibercriminosos usam nova técnica de sequestro de DNS para golpes de investimento
5 de Março de 2024

Um novo agente de ameaça DNS, chamado de Savvy Seahorse, está utilizando técnicas sofisticadas para atrair alvos para plataformas de investimento falsas e roubar fundos.

"Savvy Seahorse é um ator de ameaça DNS que convence as vítimas a criar contas em plataformas de investimento falsas, fazer depósitos em uma conta pessoal e, em seguida, transferir esses depósitos para um banco na Rússia", disse Infoblox em um relatório publicado na semana passada.

Os alvos das campanhas incluem falantes de russo, polonês, italiano, alemão, checo, turco, francês, espanhol e inglês, indicando que os atores de ameaça estão lançando uma ampla rede em seus ataques.

Os usuários são atraídos por meio de anúncios em plataformas de mídia social como o Facebook, enquanto também são enganados para se separarem de suas informações pessoais em troca de supostas oportunidades de investimento com alto retorno por meio de falsos bots do ChatGPT e WhatsApp.

As campanhas de golpes financeiros são notáveis pelo uso de registros de nome canônico DNS (CNAME) para criar um sistema de distribuição de tráfego (TDS), permitindo assim que os atores de ameaça evitem detecção desde pelo menos agosto de 2021.

Um registro CNAME é usado para mapear um domínio ou subdomínio para outro domínio (ou seja, um alias) em vez de apontar para um endereço IP.

Uma vantagem com essa abordagem é que quando o endereço IP do host muda, apenas o registro DNS A para o domínio raiz precisa ser atualizado.

O Savvy Seahorse aproveita essa técnica a seu favor, registrando diversos subdomínios de curta duração que compartilham um registro CNAME (e, portanto, um endereço IP).

Esses subdomínios específicos são criados usando um algoritmo de geração de domínio (DGA) e estão associados ao domínio da campanha principal.

A natureza sempre mutável dos domínios e dos endereços IP também torna a infraestrutura resistente a esforços de desmontagem, permitindo que os atores de ameaça continuamente criem novos domínios ou alterem seus registros CNAME para um endereço IP diferente à medida que seus sites de phishing são interrompidos.

Embora atores de ameaça como VexTrio tenham usado DNS como um TDS, a descoberta marca a primeira vez que os registros CNAME foram usados para tais propósitos.

As vítimas que acabam clicando nos links incorporados nos anúncios do Facebook são incentivadas a fornecer seus nomes, endereços de e-mail e números de telefone, após o que são redirecionadas para a plataforma de negociação falsa para adicionar fundos às suas carteiras.

"Um detalhe importante a ser observado é que o ator valida as informações do usuário para excluir o tráfego de uma lista predefinida de países, incluindo Ucrânia, Índia, Fiji, Tonga, Zâmbia, Afeganistão e Moldávia, embora o motivo da escolha desses países específicos não esteja claro", observou a Infoblox.

O desenvolvimento ocorre como Guardio Labs revelou que milhares de domínios pertencentes a marcas e instituições legítimas foram sequestrados usando uma técnica chamada CNAME takeover para propagar campanhas de spam.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...