Um novo agente de ameaça DNS, chamado de Savvy Seahorse, está utilizando técnicas sofisticadas para atrair alvos para plataformas de investimento falsas e roubar fundos.
"Savvy Seahorse é um ator de ameaça DNS que convence as vítimas a criar contas em plataformas de investimento falsas, fazer depósitos em uma conta pessoal e, em seguida, transferir esses depósitos para um banco na Rússia", disse Infoblox em um relatório publicado na semana passada.
Os alvos das campanhas incluem falantes de russo, polonês, italiano, alemão, checo, turco, francês, espanhol e inglês, indicando que os atores de ameaça estão lançando uma ampla rede em seus ataques.
Os usuários são atraídos por meio de anúncios em plataformas de mídia social como o Facebook, enquanto também são enganados para se separarem de suas informações pessoais em troca de supostas oportunidades de investimento com alto retorno por meio de falsos bots do ChatGPT e WhatsApp.
As campanhas de golpes financeiros são notáveis pelo uso de registros de nome canônico DNS (CNAME) para criar um sistema de distribuição de tráfego (TDS), permitindo assim que os atores de ameaça evitem detecção desde pelo menos agosto de 2021.
Um registro CNAME é usado para mapear um domínio ou subdomínio para outro domínio (ou seja, um alias) em vez de apontar para um endereço IP.
Uma vantagem com essa abordagem é que quando o endereço IP do host muda, apenas o registro DNS A para o domínio raiz precisa ser atualizado.
O Savvy Seahorse aproveita essa técnica a seu favor, registrando diversos subdomínios de curta duração que compartilham um registro CNAME (e, portanto, um endereço IP).
Esses subdomínios específicos são criados usando um algoritmo de geração de domínio (DGA) e estão associados ao domínio da campanha principal.
A natureza sempre mutável dos domínios e dos endereços IP também torna a infraestrutura resistente a esforços de desmontagem, permitindo que os atores de ameaça continuamente criem novos domínios ou alterem seus registros CNAME para um endereço IP diferente à medida que seus sites de phishing são interrompidos.
Embora atores de ameaça como VexTrio tenham usado DNS como um TDS, a descoberta marca a primeira vez que os registros CNAME foram usados para tais propósitos.
As vítimas que acabam clicando nos links incorporados nos anúncios do Facebook são incentivadas a fornecer seus nomes, endereços de e-mail e números de telefone, após o que são redirecionadas para a plataforma de negociação falsa para adicionar fundos às suas carteiras.
"Um detalhe importante a ser observado é que o ator valida as informações do usuário para excluir o tráfego de uma lista predefinida de países, incluindo Ucrânia, Índia, Fiji, Tonga, Zâmbia, Afeganistão e Moldávia, embora o motivo da escolha desses países específicos não esteja claro", observou a Infoblox.
O desenvolvimento ocorre como Guardio Labs revelou que milhares de domínios pertencentes a marcas e instituições legítimas foram sequestrados usando uma técnica chamada CNAME takeover para propagar campanhas de spam.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...