Cybersecurity -onderzoekers hebben het deksel opgeheven op twee dreigingsactoren die investeringen orkestreren door vervalste aantekeningen van beroemdheden en hun activiteit verbergen door verkeersdistributiesystemen (TDSE’s).
De activiteitsclusters zijn codenaam Roekeloos konijn en meedogenloos konijn door DNS Threat Intelligence Firm Infablox.
De aanvallen zijn waargenomen om slachtoffers te lokken met nepplatforms, waaronder cryptocurrency -uitwisselingen, die vervolgens worden geadverteerd op sociale mediaplatforms. Een belangrijk aspect van deze oplichting is het gebruik van webformulieren om gebruikersgegevens te verzamelen.
“Roekeloos Rabbit maakt advertenties op Facebook die leiden tot nepnieuwsartikelen met een goedkeuring van beroemdheden voor het investeringsplatform,” zeiden beveiligingsonderzoekers Darby Wise, Piotr Glaska en Laura Da Rocha. “Het artikel bevat een link naar het zwendelplatform dat een ingebedde webvorm bevat die de gebruiker overtuigt om zijn persoonlijke informatie in te voeren om te ‘registreren’ voor de investeringsmogelijkheid.”
Sommige van deze formulieren, naast het aanvragen van namen van gebruikers, telefoonnummers en e-mailadressen, bieden de mogelijkheid om een wachtwoord automatisch te genereren, een belangrijk stuk informatie dat wordt gebruikt om door te gaan naar de volgende fase van de aanval-validatiecontroles.
De dreigingsacteurs voeren HTTP -aanvragen uit om legitieme IP -validatiehulpmiddelen, zoals ipinfo (.) IO, ipgeolocation (.) IO of IPAPI (.) CO, om het verkeer uit landen te filteren waar ze niet in geïnteresseerd zijn. Checks worden ook uitgevoerd om ervoor te zorgen dat de verstrekte nummers en e -mailadressen authentiek zijn.
Als de gebruiker wordt geacht om exploitatie waardig te worden geacht, worden ze vervolgens door een TDS gerouteerd die hen rechtstreeks naar het zwendelplatform brengt waar ze worden overgehaald om af te scheiden met hun fondsen door een hoge rendementen te beloven, of naar een andere pagina die hen instrueert te wachten op een oproep van hun vertegenwoordiger.
“Sommige campagnes gebruiken callcenters om de slachtoffers instructies te geven over het opzetten van een account en geld overbrengen naar het nep -investeringsplatform,” legden de onderzoekers uit. “Voor gebruikers die de validatiestap niet halen, zullen veel campagnes gewoon een ‘bedankje’ bestemmingspagina weergeven.”
Een belangrijk aspect van de activiteit is het gebruik van een geregistreerd domeingeneratie -algoritme (RDGA) om domeinnamen voor de schetsmatige investeringsplatforms op te zetten, een techniek die ook wordt aangenomen door andere dreigingsactoren zoals productieve Puma, Revolver Rabbit en Vextrio Viper.
In tegenstelling tot traditionele algoritmen voor domeingeneratie (DGA’s), maken RDGA’s gebruik van een geheim algoritme om alle domeinnamen te registreren. Er wordt gezegd dat roekeloos konijn al in april 2024 domeinen heeft gemaakt, voornamelijk gericht op gebruikers in Rusland, Roemenië en Polen, terwijl het verkeer uitsluit uit Afghanistan, Somalië, Liberia, Madagascar en anderen.
De Facebook -advertenties die worden gebruikt om gebruikers naar de nepnieuwsartikelen te sturen, worden afgewisseld met advertentie -inhoud met betrekking tot items die te koop zijn op marktplaatsen zoals Amazon in een poging om detectie en handhavingsactie te ontwijken.
Bovendien bevatten de advertenties niet -gerelateerde afbeeldingen en tonen ze een decoydomein (bijv. “Amazon (.) PL”) dat anders is dan het eigenlijke domein waar de gebruiker wordt doorgestuurd zodra ze op de link klikken (bijv. “Tyxarai (.) Org”).
Rubbeld Rabbit daarentegen wordt verondersteld sinds ten minste november 2022 actief investeringszwendelcampagnes te voeren die gericht zijn op Oost -Europese gebruikers. Wat deze dreigingsacteur onderscheidt, is dat ze hun eigen cloaking -service (“MCRAFTDB (.) Tech”) runnen om validatiecontroles uit te voeren.
Gebruikers die voorbij de verificatiecontroles komen, worden vervolgens gerouteerd naar een beleggingsplatform waar ze worden aangespoord om hun financiële informatie in te voeren om het registratieproces te voltooien.
“Een TDS stelt bedreigingsactoren in staat om hun infrastructuur te versterken, waardoor het veerkrachtiger wordt door de mogelijkheid te bieden om kwaadaardige inhoud te verbergen voor beveiligingsonderzoekers en bots,” zei Infeblox.
Dit is niet de eerste keer dat dergelijke frauduleuze investeringszwendelcampagnes in het wild zijn ontdekt. In december 2024 heeft ESET een soortgelijk schema blootgelegd dat Nomani wordt nagesynchroniseerd die een combinatie van malvertising van sociale media, berichten van het bedrijfsbedrijf en kunstmatige intelligentie (AI) aangedreven video-getuigenissen met beroemde persoonlijkheden gebruikt.
Vorige maand onthulden de Spaanse autoriteiten dat ze zes personen tussen 34 en 57 jaar hebben gearresteerd voor vermeende runnen van een grootschalige cryptocurrency-investeringszwendel die AI-tools gebruikte om deepfake-advertenties te genereren met populaire publieke figuren om mensen te bedriegen.
Renee Burton, vice -president van Threat Intelligence bij Infablox, vertelde The Hacker News dat ze “zouden moeten kijken of er enig bewijs is” om na te gaan of er verbindingen zijn tussen deze activiteiten en die van roekeloos konijnen en meedogenloos konijn.
“Dreigingsacteurs als roekeloze en meedogenloze konijnen zullen meedogenloos zijn in hun pogingen om zoveel mogelijk gebruikers te misleiden,” zeiden de onderzoekers. “Omdat dit soort oplichting voor hen zeer winstgevend is gebleken, zullen ze snel blijven groeien – zowel in aantal en verfijning.”
Mystery Box -oplichting verspreidt zich via Facebook -advertenties
De ontwikkeling komt als Bitdefender waarschuwt voor een piek in geavanceerde oplichter die gebruik maken van een netwerk van een netwerk van meer dan 200 overtuigende nepwebsites om gebruikers te misleiden om maandelijkse abonnementen te betalen en hun creditcardgegevens te delen.
“Criminelen maken Facebook -pagina’s en nemen volledige advertenties uit om de al klassieke ‘Mystery Box’ -zwendel en andere varianten te promoten,” zei het Roemeense bedrijf. “De zwendel ‘Mystery Box’ is geëvolueerd en bevat nu bijna verborgen terugkerende betalingen, naast links naar websites naar verschillende winkels. Facebook wordt gebruikt als het belangrijkste platform voor deze nieuwe en verbeterde Mystery Box -oplichting.”
De Rogue gesponsorde advertenties adverteren de verkoop van goedkeuring van merken als Zara of bieden een kans om een ”mysterybox” met Apple -producten te kopen en gebruikers te verleiden door te beweren dat ze er een kunnen pakken door een minimale som geld te betalen, soms zo laag als $ 2.
De cybercriminelen implementeren verschillende trucs om detectie -inspanningen te omzeilen, waaronder het maken van meerdere versies van de AD, waarvan er slechts één kwaadaardig is, terwijl de anderen willekeurige productafbeeldingen vertonen.
Deze zwendel, zoals die door roekeloos konijn en meedogenloos konijn, bevatten een enquêtecomponent om ervoor te zorgen dat de slachtoffers echte mensen zijn en geen bots. Bovendien zijn de betalingspagina’s die niet vermengd gebruikers in een abonnementsprogramma dat de terugkerende inkomsten van de dreiging verdient onder het voorwendsel om hen korting te geven.
“Criminelen pompen fondsen in advertenties die zich voordoen als makers van inhoud, met behulp van hetzelfde abonnementsmodel dat nu de drijvende inkomstenstroom van deze zwendel lijkt te zijn,” zeiden Bitdefender -onderzoekers Răzvan Gosa en Silviu Stahie.
“Scammers veranderen vaak de nabootsende merken, en ze zijn begonnen uit te breiden voorbij de bestaande mysterieuze dozen. Ze proberen nu producten van lage kwaliteit of imitatieartikelen, nep-investeringen, supplementen en nog veel meer te verkopen.”
US Treasury Sancties Junta-gekoppelde militie in Myanmar over zwendelverbindingen
De bevindingen volgen ook een golf van sancties die zijn opgelegd door het Amerikaanse ministerie van Financiën tegen het Myanmar-gekoppelde Karen National Army (KNA) voor het helpen van georganiseerde misdaadsyndicaten, exploiteren multi-miljard dollar zwendelverbindingen, evenals faciliteren van mensenhandel en cross-border smokkelen.
De acties zijn ook gericht op de leider van de groep die Chit Thu zag, en zijn twee zonen, zagen Htoo Eh Moo en zag Chit Chit. Zag chit thu werd bestraft door het Verenigd Koninkrijk in 2023 en de Europese Unie in 2024 voor het worden van een belangrijke factor voor zwendeloperaties in de regio.
“Cyberzwendeloperaties, zoals die gerund door de KNA, genereren miljarden aan inkomsten voor criminele kingpins en hun medewerkers, terwijl ze slachtoffers ontnemen van hun zuurverdiende besparingen en veiligheidsgevoel,” zei plaatsvervangend secretaris Michael Faulkender.
In deze zogenaamde romantische baiting-oplichting, worden fraudeurs-die zelf worden verhandeld naar de zwendellocaties door ze te lokken met goedbetaalde banen-gedwongen om zich te richten op vreemden online, het opbouwen van een rapport met hen in de loop van de tijd en er vervolgens toe om te investeren in nepcryptocurrency en handelsplatforms gecontroleerd door de criminele actoren.
“De KNA -winst van cyberscam -regelingen op industriële schaal door het leasen van land die het controleert aan andere georganiseerde misdaadgroepen en ondersteuning te bieden voor mensenhandel, smokkel en de verkoop van hulpprogramma’s die worden gebruikt om energie te leveren aan zwendelactiviteiten,” zei de Treasury Department. “De KNA biedt ook veiligheid op zwendelverbindingen in de staat Karen.”
Het Office on Drugs and Crime (UNODC) van de Verenigde Naties heeft vorige maand bekendgemaakt dat de zwendelcentra nog steeds breiden, ondanks recente hardhandigs, wat jaarlijkse winst genereert voor een bedrag van ongeveer $ 40 miljard.
