Die Cybersicherheitsforscher von Infoblox warnen Benutzer vor einem betrügerischen Plan des DNS-Bedrohungsakteurs Savvy Seahorse, der Benutzer mithilfe von Facebook-Werbung auf betrügerische Investitionsplattformen lockt und Einlagen an russische Staatsbanken transferiert.

Das in Kalifornien ansässige IT-Automatisierungs- und Sicherheitsunternehmen Infoblox hat einen relativ neuen DNS-Bedrohungsakteur namens „Savvy Seahorse“ entdeckt. Dem Bericht des Unternehmens zufolge erstellt der Schauspieler gefälschte Investitionsplattformen mit beliebten Symbolen wie Tesla, Meta und Imperial Oil und lockt ahnungslose Benutzer zur Einzahlung von Geldern.

Savvy Seahorse bevorzugt Facebook-Anzeigen, um Benutzer dazu zu verleiten, gefälschten Investitionsplattformen zu vertrauen, und überweist Einlagen an russische Staatsbanken. Savvy Seahorse setzt fortschrittliche Techniken wie gefälschte chatgpt– und WhatsApp-Bots ein, um Benutzer in Betrügereien mit hohen Gewinninvestitionen zu locken, die die teuerste Bedrohungskategorie darstellen, die dem Internet Crime Complaint Center des FBI gemeldet wird.

ChatGPT- und WhatsApp-Bots binden Benutzer durch automatisierte Antworten ein, um Investitionsmöglichkeiten mit hoher Rendite zu schaffen. Diese Kampagnen richten sich an Benutzer in verschiedenen Ländern, darunter Russisch-, Polnisch-, Italienisch-, Deutsch-, Tschechisch-, Türkisch-, Französisch-, Spanisch- und Englischsprachige. Interessanterweise sind Benutzer in der Ukraine jedoch geschützt.

Mithilfe von DNS-CNAME-Einträgen (Canonical Name) erstellt der Akteur ein Traffic Distribution System (TDS), um raffinierte Finanzbetrügereien durchzuführen, den Zugriff auf Inhalte zu kontrollieren und die IP-Adressen bösartiger Kampagnen zu aktualisieren. Dies hilft ihnen auch, der Entdeckung durch die Sicherheitsbranche zu entgehen. Es ist erwähnenswert, dass Savvy Seahorse, seit 2021 aktiv, der erste öffentlich gemeldete Bedrohungsakteur ist, der DNS-CNAME-Einträge für raffinierte Betrugskampagnen missbraucht.

In einem Blogeintrag, Infoblox-Forscher haben mehrere Warnsignale im Zusammenhang mit dem Savvy Seahorse-Betrug identifiziert. Dazu gehören kurzlebige Kampagnen (nur 5–10 Tage aktiv), die Verwendung eines schrittweisen Bereitstellungssystems, häufige Änderungen der IP-Adressen (um die Verfolgung bösartiger Infrastruktur zu erschweren/blockieren) und die Verwendung von Wildcard-DNS-Einträgen.

Diese Einträge erfordern die Erstellung zahlreicher Subdomains, was die passive DNS-Analyse möglicherweise verwirren kann. Diese Eigenschaften erschweren die Verfolgung und Blockierung bösartiger Infrastruktur. Die Daten der Opfer werden zur Validierung und Geofencing an einen sekundären HTTP-basierten TDS-Server gesendet.

Rund 4,2.000 Basisdomänen mit CNAME-Einträgen werden von Savvy Seahorse zum Hosten von Kampagnen verwendet, bestätigten Infoblox-Forscher. Die Angreifer erstellen Subdomänen für jedes SLD mithilfe eines Domänengenerierungsalgorithmus unter Verwendung pseudozufälliger Hostnamen. Mithilfe von Registrierungsformularen werden Opferinformationen gesammelt und nach deren Validierung an die gefälschte Handelsplattform weitergeleitet. Der Akteur überwacht Benutzer, um Sicherheitsbedrohungen zu verhindern.

Der Betrug birgt potenzielle Risiken für Einzelpersonen, darunter finanzielle Verluste, Datendiebstahl und Malware-Infektionen. Benutzer, die in die gefälschte Plattform investieren, können ihr Geld verlieren, während die Betrüger möglicherweise persönliche und finanzielle Informationen stehlen.

Daher müssen Verbraucher wachsam sein, wenn sie bei der Einzahlung ungeprüften Quellen vertrauen. Denken Sie daran, dass die USA im Jahr 2023 insgesamt über 4,6 Milliarden US-Dollar durch Investitionsbetrug verloren haben.

VERWANDTE THEMEN

1. WhatsApp Pink ist eine Schadsoftware, die über Gruppenchats verbreitet wird
2. Tausende Dark-Web-Beiträge enthüllen ChatGPT-Missbrauchspläne
3. China verhaftet vier Personen, die ChatGPT für Ransomware-Angriffe als Waffe eingesetzt haben
4. Gefälschte Telegram- und WhatsApp-Klone zielen auf Krypto auf Android und Windows ab
5. SpyNote Android-Spyware gibt sich als legitime Krypto-Wallets aus und stiehlt Gelder