Новый участник DNS-угроз, получивший название Savvy Seahorse, использует сложные методы для заманивания целей на поддельные инвестиционные платформы и кражи средств.
"Savvy Seahorse - это исполнитель DNS-угроз, который убеждает жертв создавать учетные записи на поддельных инвестиционных платформах, вносить депозиты на личный счет, а затем переводить эти депозиты в банк в России", - сказал Infoblox в отчете, опубликованном на прошлой неделе.
Целями кампаний являются носители русского, польского, итальянского, немецкого, чешского, турецкого, французского, испанского и английского языков, что указывает на то, что злоумышленники используют широкую сеть в своих атаках.
Пользователей заманивают рекламой на платформах социальных сетей, таких как Facebook, а также обманом заставляют расстаться со своей личной информацией в обмен на предполагаемые возможности высокодоходных инвестиций с помощью поддельных ботов ChatGPT и WhatsApp.
Кампании финансового мошенничества отличаются использованием записей канонических имен DNS (CNAME) для создания системы распределения трафика (TDS), что позволяет субъектам угрозы избегать обнаружения как минимум с августа 2021 года.
Запись CNAME используется для сопоставления домена или поддомена с другим доменом (т.Е. Псевдонимом) вместо указания IP-адреса. Одним из преимуществ этого подхода является то, что при изменении IP-адреса хоста требуется обновить только запись DNS A для корневого домена.
Savvy Seahorse использует эту технику в своих интересах, регистрируя несколько недолговечных поддоменов, которые совместно используют запись CNAME (и, следовательно, IP-адрес). Эти конкретные поддомены создаются с использованием алгоритма генерации домена (DGA) и связаны с основным доменом кампании.
Постоянно меняющийся характер доменов и IP-адресов также делает инфраструктуру устойчивой к попыткам удаления, позволяя субъектам угрозы постоянно создавать новые домены или изменять свои записи CNAME на другой IP-адрес по мере взлома их фишинговых сайтов.
Хотя такие злоумышленники, как VexTrio, использовали DNS в качестве TDS, это открытие знаменует собой первый случай использования записей CNAME для подобных целей.
Жертвам, которые в конечном итоге переходят по ссылкам, встроенным в рекламу Facebook, настоятельно рекомендуется указать свои имена, адреса электронной почты и номера телефонов, после чего они перенаправляются на фиктивную торговую платформу для пополнения своих кошельков.
"Важная деталь, которую следует отметить, заключается в том, что злоумышленник проверяет информацию пользователя, чтобы исключить трафик из заранее определенного списка стран, включая Украину, Индию, Фиджи, Тонгу, Замбию, Афганистан и Молдову, хотя их причины выбора этих конкретных стран неясны", - отметил Infoblox.
Развитие событий происходит после того, как Guardio Labs обнаружила, что тысячи доменов, принадлежащих законным брендам и учреждениям, были взломаны с использованием технологии, называемой CNAME takeover, для распространения спам-кампаний.
