新发现的名为 Savvy Seahorse 的威胁行为者创建了虚假投资平台,在 Facebook 的帮助下引诱受害者,并将不义之财转移到俄罗斯国有银行。
Infloblox 的威胁情报小组发布了一份关于 Savvy Seahorse 的新报告,该组织表示,这个域名系统 (DNS) 威胁行为者创建了虚假投资平台,受害者可以在其中存入资金,并通过欺骗特斯拉、Meta 等知名图标而被引诱进入。 、帝国石油公司等。
更重要的是,该组织利用 Facebook 广告说服用户注册虚假平台,然后将这些存款转移到俄罗斯国有银行。
据 Infoblox 研究人员称
,Savvy Seahorse 的活动非常复杂,涉及先进技术,例如结合虚假的 ChatGPT 和 WhatsApp 机器人,为用户提供自动响应,敦促他们输入个人信息,以换取所谓的高回报投资机会。
攻击者的目标是俄语、波兰语、意大利语、德语、捷克语、土耳其语、法语、西班牙语和英语。
神秘的是,这些活动似乎专门保护乌克兰和其他一些国家的潜在受害者。
Infoblox 表示,Savvy Seahorse 以一种隐晦的方式滥用 DNS。
他们利用 DNS 规范名称 (CNAME) 记录为复杂的金融诈骗活动创建流量分配系统。
因此,Savvy Seahorse 可以控制谁有权访问内容,并可以动态更新恶意活动的 IP 地址。
Infloblox 表示:“这种使用 CNAME 的技术使威胁行为者能够逃避安全行业的检测。”他补充说,Savvy Seahorse 至少自 2021 年 8 月以来一直在运营。
威胁行为者的活动采用了各种先进的诱骗技术,但它们都遵循相似的模式,最终目标是窃取受害者的个人和财务信息以获取金钱利益。
一旦用户在嵌入虚假网页的虚假注册表中输入个人详细信息,他们就会被重定向到虚假交易平台。
这将自动为他们设置一个帐户。
Savvy Seahors 设立的虚假交易平台。
由 Inflblox 提供
然后,鼓励用户从多个不同来源向其“钱包”充值,包括 Visa/Mastercard、加密钱包或 Qiwi 和 YooMoney 等俄罗斯支付提供商。
-
Savvy Seahorse 通过 Facebook 广告开展活动。
-
-
-
单独的活动是短暂的(每个子域的广告时间为 5 到 10 天)。
-
他们似乎使用分阶段部署系统,其中活动域的 CNAME 记录将根据其当前是否处于活动状态而更改。
-
他们利用通配符 DNS 条目,这使他们能够快速创建大量独立的活动,但可能会给被动 DNS (pDNS) 分析带来混乱。
-
受害者的个人数据被发送到基于 HTTP 的辅助 TDS 服务器以验证信息并应用地理围栏以排除乌克兰和其他少数国家/地区。
-
第二个基于 HTTP 的 TDS 还随着时间的推移跟踪用户 IP 和电子邮件地址。
Savvy Seahorse 自 2021 年 8 月以来一直在运营。尽管参与的域有时会被安全工具标记,但其背后更大的基础设施和参与者并未被安全行业发现。我们观察到大约 4.2k 个基本域,其 CNAME 记录列出了 b36cname[.]site 的子域。为了举办活动,Savvy Seahorse 使用域名生成算法 (DGA) 为每个 SLD 创建多个子域名,其中主机名是伪随机的,在大多数情况下为三个字符长。
Savvy Seahorse 使用每个网页中嵌入的注册表来收集受害者的名字和姓氏、电子邮件地址和电话号码。图 2 显示了该注册表的两个示例,一个是波兰语,另一个是英语。
图 2:Savvy Seahorse 活动中使用的注册表
验证用户信息后,将被重定向至平台。参与者跟踪用户,防止爬虫和安全供应商重新访问。下面的视频提供了虚假交易平台的演练。
Infoblox 研究人员表示,威胁行为者似乎正在将资金转移到俄罗斯大型国有银行 Sberbank。
