Savvy Seahorse adlı bir tehdit oyuncusu, finansal dolandırıcılık kampanyalarına güç veren bir trafik dağıtım sistemi oluşturmak için CNAME DNS Records Alan Adı Sistemini kötüye kullanıyor.
Tehdit oyuncusu, kurbanları Facebook reklamları aracılığıyla hedefliyor ve onları sahte yatırım platformlarına yönlendiriyor ve burada fon yatırmaya ve hassas kişisel verilere girmeye kandırıldı.
Bu kampanyaların dikkate değer bir yönü, kurbanlarla doğrudan etkileşime giren sohbet botlarını, onları yüksek yatırım getirileri konusunda ikna etmek ve saldırganlar için dolandırıcılık sürecini otomatik hale getirmektir.
Bu operasyonu keşfeden Infoblox araştırmacıları, en azından Ağustos 2021'den beri devam ettiğini ve beş ila on gün süren kısa saldırı dalgalarında tezahür ettiğini söylüyor.
Savvy Seahorse, operasyonları için Trafik Dağıtım Sistemi (TDS) olarak Canonik Adı (CNAME) kayıtlarını yaratıcı bir şekilde kullanır ve tehdit aktörlerinin tespit kaçakçılığını artıran IP rotasyonu gerçekleştirme gibi değişiklikleri kolayca yönetmesine izin verir.
CNAME kaydı, bir etki alanı veya alt alanını doğrudan bir IP adresine göre başka bir etki alanı adıyla eşleştiren bir DNS kaydıdır.
Bu, CNAME'in hedef etki alanı için bir takma ad olarak hareket etmesine neden olur, bu da yönlendirmeleri yönetmeyi ve hedef etki alanının IP adresindeki değişikliklerin CNAME için de geçerli olmasını sağlar.
Savvy Seahorse, birincil/temel kampanya alanına bağlayan ortak bir CNAME kaydını paylaşan saldırı dalgaları için birden fazla alt alan kaydetti, örneğin "B36CNAME [.] Sitesi".
Bu, tüm bu CNAME kayıtlarının, aşağıda gösterildiği gibi B36CNAME [.] Sitesindeki alt alandan aynı IP adresine sahip olmasını sağlar.
Bu teknik, güvenlik yazılımı belirli bir IP adresini engellediğinde veya saldırı alanının DNS ayarlarını değiştirmeden algılamayı önlediğinde yeni hedeflere dönmeyi mümkün kılar.
Infoblox, bunun TDS için DNS CNAME'leri kötüye kullanma vakası olduğunu söylüyor, ancak büyük olasılıkla ilk kez olmasa da, 'Cname TDS' yöntemini adlandırmaya karar verdiler.
"Bilgili Seahorse, DNS CNAMES'i kötü niyetli bir TDS'nin bir parçası olarak kötüye kullanan ilk kamuoyu olarak bildirilen tehdit oyuncusudur."
Diyerek şöyle devam etti: "DNS'de tehdit oyuncusu için daha fazla karmaşıklık gerektirse de, nadir değildir - güvenlik literatüründe bu noktaya kadar tanınmaz."
Domain üretim algoritmalarını (DGA'lar) kullanan Savvy Seahorse, CNAME TDS sisteminde kullanılan binlerce alanı oluşturur ve yönetir.
Tehdit oyuncusu, bu alanların durumunu "park edilmiş", "testte" ve "aktif kampanyada" durumunu değiştirmek için altyapısının izlenmesini ve eşlenmesini zorlaştırmak için joker DNS yanıtlarını kullanır.
Ayrıca, çoğu tehdit aktörünün aksine, Savvy Seahorse altyapısını birden fazla kayıt memuru ve barındırma sağlayıcısına yayar, bu da hem atıftan kaçmaya hem de operasyonel esneklik elde etmeye yardımcı olur.
Savvy Seahorse, tehdit aktörünün küresel hedefleme kapsamını gösteren İngilizce, Rusça, Lehçe, İtalyanca, Almanca, Fransızca, İspanyolca, Çek ve Türkçe yazılmış yemlerle yatırım dolandırıcılıklarını teşvik ediyor.
Saldırılarda kullanılan kötü niyetli alt alanlar, kandırılmış kurbanların kişisel bilgilerini çalmak için tasarlanmış kayıt formları.
Bu veriler gönderildikten sonra, ikincil bir etki alanı, kurbanın konumunu IP adreslerine ve sağlanan bilgilerin meşruiyetine göre doğrular ve onaylanan kullanıcıları sahte bir ticaret platformuna yönlendirir.
Orada, mağdurlar kredi kartları, kripto para birimi ve diğer ödeme yöntemlerini kullanarak yatırım bakiyelerini doldurmayı seçebilirler.
Aşağıdaki video, bu hileli platformlardan birini ayrıntılı olarak göstermektedir:
Chatgpt, Whatsapp ve Tesla'yı taklit eden Chatbots, diğer tanınmış varlıkların yanı sıra, görünür meşruiyeti artırıyor ve saldırının sosyal mühendislik yönünde hayati bir rol oynuyor.
Infoblox, kötü amaçlı sayfaların, muhtemelen taktikleri geliştirmek için kullanılan performans izleme için meta piksel izleyicileri kullandığını söylüyor.
Bilgili Seahorse kampanyalarında kullanılan uzlaşma ve alanların tam bir listesi için bu GitHub sayfasına göz atın.
Dolandırıcılar Apple'ı 3 milyon doların üzerinde 5.000 iPhone'dan dolandırmaya çalıştı
Amerikalılar 2023'te sahtekarlık için 10 milyar dolar rekoru kaybetti, FTC uyardı
"Gittiğine İnanamıyorum" Facebook Kimlik Yardımı Mesajları
ABD Mahkemesi Dokümanları Sahte Antivirüs Yenileme Kimlik Yardım Taktikleri
Kripto Cüzdan Kurucu Sahte AirDrop Web Sitesine 125.000 $ kaybetti
Kaynak: Bleeping Computer