Un nuevo actor de amenazas DNS, llamado Savvy Seahorse, ha aparecido en escena utilizando tácticas astutas para estafar a sus víctimas y acceder a cuentas de inversión fraudulentas. De acuerdo con un informe publicado por Infoblox la semana pasada, este grupo convence a sus objetivos para crear cuentas en plataformas de inversión falsas, los llevan a realizar depósitos en una cuenta personal y, posteriormente, transfieren esos depósitos a un banco en Rusia.
Las campañas fraudulentas de Savvy Seahorse se dirigen a aquellos que hablan ruso, polaco, italiano, alemán, checo, turco, francés, español e inglés, y los atacantes están lanzando una red amplia en sus ataques. Los usuarios son atraídos a través de anuncios en plataformas de redes sociales como Facebook, en donde también se les engaña para que entreguen su información personal a cambio de supuestas oportunidades de inversión de alto rendimiento a través de ChatGPT y WhatsApp bots falsos.
Las campañas de estafas financieras de Savvy Seahorse son notables por utilizar registros de nombres canónicos de DNS (CNAME) para crear un sistema de distribución de tráfico (TDS), lo que les permite a los atacantes eludir la detección desde al menos agosto de 2021.
Para llevar a cabo estos ataques, Savvy Seahorse utiliza un registro CNAME que asigna varios subdominios de corta duración y que comparten una dirección IP. Estos subdominios específicos se crean utilizando un algoritmo de generación de dominios (DGA) y están asociados con el dominio de la campaña principal. Los dominios y direcciones IP cambiantes hacen que la infraestructura sea resistente a los esfuerzos de eliminación, lo que permite a los atacantes crear continuamente nuevos dominios o alterar sus registros CNAME a una dirección IP diferente, a medida que sus sitios de phishing son interrumpidos.
Mientras que otros actores de amenazas como VexTrio ya han utilizado DNS como TDS, esta es la primera vez que se utilizan los registros CNAME para tales fines. Las víctimas que hacen clic en los enlaces integrados en los anuncios de Facebook se les insta a proporcionar sus nombres, direcciones de correo electrónico y números de teléfono, después de lo cual se redirigen a la plataforma comercial falsa para agregar fondos a sus billeteras.
En un detalle importante, Savvy Seahorse valida la información del usuario para excluir el tráfico de una lista predefinida de países, incluidos Ucrania, India, Fiji, Tonga, Zambia, Afganistán y Moldavia. Aunque no está claro por qué han seleccionado estos países específicos.
Esta noticia llega justo cuando Guardio Labs reveló que miles de dominios pertenecientes a marcas e instituciones legítimas han sido secuestrados utilizando una técnica llamada CNAME takeover para propagar campañas de spam. Manténgase alerta y asegúrese de tener métodos de seguridad adecuados en su lugar para protegerse contra estas amenazas.
Vía The Hacker News
