Un nuevo actor de amenazas DNS denominado Caballito de mar inteligente está aprovechando técnicas sofisticadas para atraer objetivos a plataformas de inversión falsas y robar fondos.
«Savvy Seahorse es un actor de amenazas DNS que convence a las víctimas para que creen cuentas en plataformas de inversión falsas, realicen depósitos en una cuenta personal y luego transfieran esos depósitos a un banco en Rusia», Infoblox dicho en un informe publicado la semana pasada.
Los objetivos de las campañas incluyen hablantes de ruso, polaco, italiano, alemán, checo, turco, francés, español e inglés, lo que indica que los actores de amenazas están lanzando una amplia red en sus ataques.
Los usuarios son atraídos a través de anuncios en plataformas de redes sociales como Facebook, al mismo tiempo que los engañan para que proporcionen su información personal a cambio de supuestas oportunidades de inversión de alto rendimiento a través de falsos bots ChatGPT y WhatsApp.
Las campañas de estafa financiera se destacan por utilizar registros de nombres canónicos DNS (CNAME) para crear un sistema de distribución de tráfico (TDS), lo que permite a los actores de amenazas evadir la detección desde al menos agosto de 2021.
A Registro CNAME se utiliza para asignar un dominio o subdominio a otro dominio (es decir, un alias) en lugar de apuntar a una dirección IP. Una ventaja de este enfoque es que cuando cambia la dirección IP del host, solo el Registro DNS A para el dominio raíz debe actualizarse.
Savvy Seahorse aprovecha esta técnica al registrar varios subdominios de corta duración que comparten un registro CNAME (y, por lo tanto, una dirección IP). Estos subdominios específicos se crean utilizando un algoritmo de generación de dominios (DGA) y están asociados con el dominio principal de la campaña.
La naturaleza siempre cambiante de los dominios y las direcciones IP también hace que la infraestructura sea resistente a los esfuerzos de eliminación, lo que permite a los actores de amenazas crear continuamente nuevos dominios o alterar sus registros CNAME a una dirección IP diferente a medida que sus sitios de phishing se ven interrumpidos.
Si bien los actores de amenazas como VexTrio han utilizado DNS como TDS, el descubrimiento marca la primera vez que se utilizan registros CNAME para tales fines.
A las víctimas que terminan haciendo clic en los enlaces incluidos en los anuncios de Facebook se les insta a proporcionar sus nombres, direcciones de correo electrónico y números de teléfono, después de lo cual son redirigidas a la plataforma comercial falsa para agregar fondos a sus billeteras.
«Un detalle importante a tener en cuenta es que el actor valida la información del usuario para excluir el tráfico de una lista predefinida de países, incluidos Ucrania, India, Fiji, Tonga, Zambia, Afganistán y Moldavia, aunque su razonamiento para elegir estos países específicos no está claro. «, señaló Infoblox.
El desarrollo se produce cuando Guardio Labs reveló que miles de dominios pertenecientes a marcas e instituciones legítimas han sido secuestrados utilizando una técnica llamada adquisición de CNAME para propagar campañas de spam.