Un actor de amenințare numit Savvy Seahorse abuzează de înregistrările DNS CNAME (Sistemul de Nume de Domeniu) pentru a crea un sistem de distribuție a traficului care alimentează campaniile de escrocherii financiare.
Actorul de amenințare vizează victimele prin intermediul reclamelor de pe Facebook care le îndreaptă către platforme de investiții false în care sunt păcălite să depună fonduri și să introducă date personale sensibile.
Un aspect remarcabil al acestor campanii este că ele implică roboți de chat care interacționează direct cu victimele pentru a le convinge de randamente ridicate ale investițiilor, automatizând astfel procesul de escrocherie pentru atacatori.
Cercetătorii de la Infoblox care au descoperit această operațiune spun că aceasta este în desfășurare cel puțin din august 2021, manifestându-se în valuri scurte de atacuri care durează între cinci și zece zile.
Savvy Seahorse folosește creativ înregistrările de nume canonice (CNAME) ca un Sistem de Distribuție a Traficului (TDS) pentru operațiunile sale, permițând actorilor de amenințare să gestioneze ușor modificările, cum ar fi rotirea IP-urilor care îmbunătățește evitarea detectării.
O înregistrare CNAME este o înregistrare DNS care mapează un domeniu sau subdomeniu către un alt nume de domeniu în loc să mapeze direct către o adresă IP.
Acest lucru face ca CNAME-ul să acționeze ca un alias pentru domeniul țintă, facilitând gestionarea redirecționărilor și asigurând ca orice modificări ale adresei IP a domeniului țintă să se aplice automat și la CNAME.
Savvy Seahorse înregistrează mai multe subdomenii pentru valurile sale de atac care partajează o înregistrare CNAME comună care le leagă de domeniul campaniei primare/bază, de exemplu, „b36cname[.]site”.
Aceasta permite ca toate aceste înregistrări CNAME să aibă aceeași adresă IP moștenită de la subdomeniul de pe b36cname[.]site, așa cum este ilustrat mai jos.
Această tehnică face posibilă trecerea la noi destinații atunci când software-ul de securitate blochează o anumită adresă IP sau pentru a preveni detectarea fără a modifica setările DNS ale domeniului de atac.
Infoblox spune că acesta este primul caz raportat public de abuz al DNS CNAME pentru TDS, deși cel mai probabil nu este prima dată când s-a întâmplat, așa că au decis să numească metoda ‘CNAME TDS’.
„Savvy Seahorse este primul actor de amenințare raportat public care abuzează de DNS CNAME-uri ca parte a unui TDS rău intenționat,” explică Infoblox.
„Deși necesită mai multă sofisticare în DNS din partea actorului de amenințare, nu este neobișnuit—doar nedetectat până în acest punct în literatura de securitate.”
Folosind algoritmi de generare a domeniilor (DGA), Savvy Seahorse creează și gestionează mii de domenii utilizate în sistemul CNAME TDS.
Actorul de amenințare folosește răspunsuri DNS wildcard pentru a schimba starea acestor domenii de la „parcate,” „în testare,” și în „campanie activă,” făcând mai dificilă urmărirea și cartografierea infrastructurii sale.
De asemenea, spre deosebire de majoritatea actorilor de amenințare, Savvy Seahorse își răspândește infrastructura pe mai mulți registrarși și furnizori de găzduire, ceea ce ajută la evitarea atribuirii și la atingerea rezilienței operaționale.
Savvy Seahorse promovează escrocheriile de investiții cu momeli scrise în engleză, rusă, poloneză, italiană, germană, franceză, spaniolă, cehă și turcă, indicând domeniul global de acoperire al actorului de amenințare.
Subdomeniile malițioase folosite în atacuri găzduiesc formulare de înregistrare concepute pentru a fura informațiile personale ale victimelor păcălite.
Odată ce acele date sunt trimise, un domeniu secundar validează locația victimei pe baza adresei lor IP și legitimitatea informațiilor furnizate și redirecționează utilizatorii aprobați către o platformă de tranzacționare falsă.
Acolo, victimele pot alege să își reîncarce balanțele de investiții folosind carduri de credit, criptomonede și alte metode de plată.
Video-ul următor demonstrează în detaliu una dintre aceste platforme frauduloase:
Roboții de chat care se impersonalizează ca ChatGPT, WhatsApp și Tesla, printre alte entități bine cunoscute, cresc legitimitatea aparentă și joacă un rol vital în aspectul de manipulare socială al atacului.
Infoblox spune că paginile malițioase folosesc și urmăritori Meta Pixel pentru urmărirea performanței, care probabil este folosită pentru a rafina tactica.
Pentru o listă completă a indicatorilor de compromis și a domeniilor folosite în campaniile Savvy Seahorse, consultați această pagină GitHub.
Leave a Reply