Hackers utilizan nueva técnica de secuestro de DNS para estafas de inversión

0

Los hackers están utilizando una novedosa técnicas de secuestro de DNS para estafas de inversión

Los hackers están utilizando una novedosa técnicas de secuestro de DNS para estafas de inversión

Un nuevo actor de amenazas DNS llamado Savvy Seahorse está empleando técnicas avanzadas para atraer a sus objetivos hacia plataformas de inversión falsas y así apoderarse de fondos.

«Savvy Seahorse es un actor de amenazas DNS que persuade a las víctimas para que creen cuentas en plataformas de inversión falsas, realicen depósitos en una cuenta personal y luego transfieran esos depósitos a un banco en Rusia», según un informe publicado la semana pasada por Infoblox.

Los objetivos de estas campañas incluyen hablantes de ruso, polaco, italiano, alemán, checo, turco, francés, español e inglés, evidenciando que los actores de amenazas están ampliando sus ataques de manera extensa.

Los usuarios son atraídos a través de anuncios en plataformas de redes sociales como Facebook, al mismo tiempo que son engañados para proporcionar su información personal a cambio de presuntas oportunidades de inversión con rendimientos elevados, utilizando bots falsos de ChatGPT y WhatsApp.

Lo destacado de estas estafas financieras radica en el uso de registros de nombre canónico DNS (CNAME) para crear un sistema de distribución de tráfico (TDS), permitiendo a los actores de amenazas eludir la detección desde al menos agosto de 2021.

Un registro CNAME se utiliza para mapear un dominio o subdominio a otro dominio (es decir, un alias) en lugar de señalar a una dirección IP. Una ventaja de esta estrategia es que, al cambiar la dirección IP del host, solo se requiere actualizar el registro A DNS del dominio raíz.

Savvy Seahorse aprovecha esta técnica registrando varios subdominios de corta duración que comparten un registro CNAME (y, por ende, una dirección IP). Estos subdominios específicos se crean mediante un algoritmo de generación de dominios (DGA) y están vinculados al dominio principal de la campaña.

La naturaleza siempre cambiante de los dominios y las direcciones IP también otorga resistencia a los esfuerzos para desactivar la infraestructura, permitiendo a los actores de amenazas crear de forma continua nuevos dominios o modificar sus registros CNAME hacia una dirección IP diferente cuando sus sitios de phishing se ven afectados.

Aunque actores de amenazas como VexTrio han utilizado DNS como TDS, este descubrimiento marca la primera vez que se emplean registros CNAME con este propósito.

Las víctimas que hacen clic en los enlaces incrustados en los anuncios de Facebook son instadas a proporcionar sus nombres, direcciones de correo electrónico y números de teléfono, siendo luego redirigidas a la falsa plataforma de comercio para agregar fondos a sus cuentas.

«Un detalle relevante es que el actor valida la información del usuario para excluir el tráfico de una lista predefinida de países, incluyendo Ucrania, India, Fiyi, Tonga, Zambia, Afganistán y Moldavia, aunque no está claro por qué se eligieron estos países en particular», destacó Infoblox.

Este hallazgo coincide con la revelación de Guardio Labs sobre el secuestro de miles de dominios pertenecientes a marcas e instituciones legítimas utilizando una técnica llamada «CNAME takeover» para difundir campañas de correo no deseado.


Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 661610005838513425 Nombre: Masterhacks LATAM Banco: Alternativos

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *