Un nouvel acteur de menace DNS surnommé Hippocampe avisé exploite des techniques sophistiquées pour attirer des cibles vers de fausses plateformes d’investissement et voler des fonds.
« Savvy Seahorse est un acteur menaçant du DNS qui convainc les victimes de créer des comptes sur de fausses plateformes d’investissement, d’effectuer des dépôts sur un compte personnel, puis de transférer ces dépôts vers une banque en Russie », Infoblox dit dans un rapport publié la semaine dernière.
Les cibles des campagnes comprennent des personnes parlant le russe, le polonais, l’italien, l’allemand, le tchèque, le turc, le français, l’espagnol et l’anglais, ce qui indique que les acteurs de la menace ratissent large dans leurs attaques.
Les utilisateurs sont attirés via des publicités sur des plateformes de médias sociaux comme Facebook, tout en les incitant à partager leurs informations personnelles en échange de prétendues opportunités d’investissement à haut rendement via de faux robots ChatGPT et WhatsApp.
Les campagnes d’escroquerie financière se distinguent par l’utilisation d’enregistrements de noms canoniques DNS (CNAME) pour créer un système de distribution de trafic (TDS), permettant ainsi aux acteurs malveillants d’échapper à la détection depuis au moins août 2021.
UN Enregistrement CNAME est utilisé pour mapper un domaine ou un sous-domaine à un autre domaine (c’est-à-dire un alias) au lieu de pointer vers une adresse IP. L’un des avantages de cette approche est que lorsque l’adresse IP de l’hôte change, seul le Enregistrement DNS A pour le domaine racine doit être mis à jour.
Savvy Seahorse exploite cette technique à son avantage en enregistrant plusieurs sous-domaines de courte durée qui partagent un enregistrement CNAME (et donc une adresse IP). Ces sous-domaines spécifiques sont créés à l’aide d’un algorithme de génération de domaine (DGA) et sont associés au domaine principal de la campagne.
La nature en constante évolution des domaines et des adresses IP rend également l’infrastructure résistante aux efforts de retrait, permettant aux acteurs malveillants de créer continuellement de nouveaux domaines ou de modifier leurs enregistrements CNAME vers une adresse IP différente à mesure que leurs sites de phishing sont perturbés.
Alors que des acteurs malveillants comme VexTrio ont utilisé le DNS comme TDS, cette découverte marque la première fois que des enregistrements CNAME sont utilisés à de telles fins.
Les victimes qui finissent par cliquer sur les liens intégrés dans les publicités Facebook sont invitées à fournir leurs noms, adresses e-mail et numéros de téléphone, après quoi elles sont redirigées vers la fausse plateforme de trading pour ajouter des fonds à leur portefeuille.
« Un détail important à noter est que l’acteur valide les informations de l’utilisateur pour exclure le trafic provenant d’une liste prédéfinie de pays, notamment l’Ukraine, l’Inde, les Fidji, les Tonga, la Zambie, l’Afghanistan et la Moldavie, bien que la raison pour laquelle ils ont choisi ces pays spécifiques ne soit pas claire. » a noté Infoblox.
Cette évolution intervient alors que Guardio Labs a révélé que des milliers de domaines appartenant à des marques et institutions légitimes ont été piratés à l’aide d’une technique appelée prise de contrôle CNAME pour propager des campagnes de spam.