Надежный VPN для России – подключайся через наш Телеграмм-бот:
|
Мошенники технично эксплуатируют DNS для обхода систем безопасности.
Компания Infoblox сообщает, что киберпреступная группировка Savvy Seahorse злоупотребляет записями CNAME для создания системы распределения трафика, поддерживающей кампании финансового мошенничества. Операция началась не позднее августа 2021 года и характеризуется короткими волнами атак, продолжающимися от 5 до 10 дней.
Мошенники привлекают жертв через рекламу в Facebook*, направляя их на фальшивые инвестиционные платформы, где людей обманом заставляют вносить средства и вводить конфиденциальные личные данные. Отличительной особенностью кампаний является использование чат-ботов, которые напрямую взаимодействуют с жертвами, убеждая их в высокой доходности инвестиций и автоматизируя процесс мошенничества.
Savvy Seahorse творчески использует записи Canonical Name (CNAME) в качестве системы распределения трафика (Traffic Delivery System, TDS) для своих операций, что позволяет легко менять IP-адреса для уклонения от обнаружения.
Запись CNAME — это запись DNS, которая сопоставляет домен или поддомен с другим доменным именем, а не непосредственно с IP-адресом. Это приводит к тому, что CNAME действует как псевдоним для целевого домена, что упрощает управление перенаправлениями и гарантирует, что любые изменения IP-адреса целевого домена автоматически применяются и к CNAME.
Схема атаки Savvy Seahorse
Для своих атак Savvy Seahorse регистрирует множество поддоменов, которые связаны общей CNAME-записью, указывающей на основной домен кампании. Такая техника обеспечивает единый IP-адрес для всех записей, упрощая ротацию целей при блокировке IP-адресов средствами безопасности и помогая избежать обнаружения.
Купи VPN для России через Телеграмм – легко и быстро:
|
Такой подход требует от злоумышленников более глубоких знаний в области DNS, но до сих пор оставался малоизученным в литературе по кибербезопасности. Infoblox отмечает, что это первый публично зафиксированный случай злоупотребления CNAME для TDS.
Savvy Seahorse использует алгоритмы генерации доменов (Domain Generation Algorithms, DGA) для создания и управления тысячами доменов в системе CNAME TDS. Такие домены могут менять свой статус с «parked» на «in testing» и «active campaign», что усложняет отслеживание и картографирование их инфраструктуры.
Отличительной чертой Savvy Seahorse является распределение инфраструктуры по множеству регистраторов и хостинг-провайдеров, чтобы не привлекать внимание и обеспечить операционную устойчивость.
Мошеннические поддомены размещают формы регистрации, предназначенные для кражи личной информации обманутых жертв. После отправки данных поддомен проверяет местоположение жертвы по IP-адресу и подлинность предоставленной информации, после чего подтвержденные пользователи перенаправляются на поддельную торговую платформу, где им предлагается пополнить баланс с помощью банковских карт, криптовалюты и других методов оплаты.
Чат-боты, правдоподобно имитирующие ChatGPT, WhatsApp и Tesla, играют ключевую роль в социальной инженерии. Страницы мошенников также используют трекеры Meta* Pixel для отслеживания эффективности, что, вероятно, используется для совершенствования тактик.
Обзор атаки Savvy Seahorse
Для получения полного списка индикаторов компрометации и доменов, используемых в кампаниях Savvy Seahorse, можно ознакомиться с полным отчетом компании.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.
Ты не вирус, но мы видим, что ты активен!
Подпишись, чтобы защититься
Купить экспресс VPN означает приобретение услуги виртуальной частной сети (VPN), которая предлагает высокую скорость соединения и надежную защиту данных. Экспресс VPN (или ExpressVPN) — это конкретный бренд, известный своим качеством и производительностью, но термин также может использоваться для обозначения любых VPN-сервисов, которые акцентируют внимание на быстрой работе.
Экспресс VPN помогает защитить ваши данные от слежки, что особенно важно при использовании общественных Wi-Fi сетей.
Экспресс VPN позволяет обойти географические блокировки, что дает возможность получать доступ к сайтам и сервисам, недоступным в вашем регионе.
Купить экспресс VPN — это решение для тех, кто ищет быстрый и надежный способ обеспечить безопасность и конфиденциальность в интернете. Такой сервис поможет вам защитить ваши данные, обеспечить высокую скорость соединения и получить доступ к контенту, заблокированному в вашем регионе. Выбирая экспресс VPN, вы делаете инвестицию в свой онлайн-комфорт и безопасность.
