Een nieuwe DNS-bedreigingsacteur genaamd Slimme zeepaardje maakt gebruik van geavanceerde technieken om doelen naar nep-investeringsplatforms te lokken en geld te stelen.
“Savvy Seahorse is een DNS-bedreigingsacteur die slachtoffers overtuigt om accounts aan te maken op nep-investeringsplatforms, stortingen te doen op een persoonlijke rekening en die stortingen vervolgens over te maken naar een bank in Rusland”, aldus Infoblox in een rapport dat vorige week werd gepubliceerd.
Doelwitten van de campagnes zijn onder meer Russisch-, Pools-, Italiaans-, Duits-, Tsjechisch-, Turks-, Frans-, Spaans- en Engelstaligen, wat aangeeft dat de dreigingsactoren een breed net uitwerpen met hun aanvallen.
Gebruikers worden gelokt via advertenties op sociale mediaplatforms zoals Facebook, terwijl ze ook worden misleid om afstand te doen van hun persoonlijke informatie in ruil voor vermeende investeringsmogelijkheden met hoog rendement via nep-ChatGPT- en WhatsApp-bots.
De financiële zwendelcampagnes vallen op door het gebruik van DNS-canonieke naamrecords (CNAME) om een verkeersdistributiesysteem (TDS) te creëren, waardoor bedreigingsactoren de detectie sinds ten minste augustus 2021 kunnen omzeilen.
Een CNAME-record wordt gebruikt om een domein of subdomein aan een ander domein (dwz een alias) toe te wijzen in plaats van naar een IP-adres te verwijzen. Een voordeel van deze aanpak is dat wanneer het IP-adres van de host verandert, alleen het DNS A-record voor het hoofddomein hoeft te worden bijgewerkt.
Slimme Seahorse maakt gebruik van deze techniek in zijn voordeel door verschillende kortstondige subdomeinen te registreren die een CNAME-record (en dus een IP-adres) delen. Deze specifieke subdomeinen worden gemaakt met behulp van een domeingeneratie-algoritme (DGA) en zijn gekoppeld aan het primaire campagnedomein.
De steeds veranderende aard van de domeinen en IP-adressen maakt de infrastructuur ook bestand tegen verwijderingsinspanningen, waardoor de bedreigingsactoren voortdurend nieuwe domeinen kunnen creëren of hun CNAME-records kunnen wijzigen in een ander IP-adres wanneer hun phishing-sites worden verstoord.
Hoewel bedreigingsactoren zoals VexTrio DNS als TDS hebben gebruikt, is de ontdekking de eerste keer dat CNAME-records voor dergelijke doeleinden zijn gebruikt.
Slachtoffers die uiteindelijk op de links in Facebook-advertenties klikken, worden verzocht hun naam, e-mailadres en telefoonnummer op te geven, waarna ze worden doorgestuurd naar het nephandelsplatform waar ze geld aan hun portemonnee kunnen toevoegen.
“Een belangrijk detail om op te merken is dat de actor de informatie van de gebruiker valideert om verkeer uit te sluiten van een vooraf gedefinieerde lijst met landen, waaronder Oekraïne, India, Fiji, Tonga, Zambia, Afghanistan en Moldavië, hoewel hun redenering voor het kiezen van deze specifieke landen onduidelijk is. “merkte Infoblox op.
De ontwikkeling komt op het moment dat Guardio Labs onthulde dat duizenden domeinen van legitieme merken en instellingen zijn gekaapt met behulp van een techniek genaamd CNAME takeover om spamcampagnes te verspreiden.
