Siber Suçlular Yatırım Dolandırıcılığı için Yeni DNS Ele Geçirme Tekniğini Kullanıyor
Savvy Seahorse adlı yeni bir DNS tehdit aktörü, hedefleri sahte yatırım platformlarına çekmek ve fon çalmak için gelişmiş tekniklerden yararlanıyor.
Infoblox geçen hafta yayınlanan bir raporda, "Savvy Seahorse, kurbanları sahte yatırım platformlarında hesap oluşturmaya, kişisel bir hesaba para yatırmaya ve ardından bu mevduatları Rusya'daki bir bankaya aktarmaya ikna eden bir DNS tehdit aktörüdür" dedi.
Kampanyaların hedefleri arasında Rusça, Lehçe, İtalyanca, Almanca, Çekçe, Türkçe, Fransızca, İspanyolca ve İngilizce konuşanlar yer alıyor ve bu da tehdit aktörlerinin saldırılarında geniş bir ağ oluşturduğunu gösteriyor.
Kullanıcılar, Facebook gibi sosyal medya platformlarındaki reklamlar aracılığıyla cezbedilirken, aynı zamanda sahte ChatGPT ve WhatsApp botları aracılığıyla iddia edilen yüksek getirili yatırım fırsatları karşılığında kişisel bilgilerini paylaşmaları için kandırılıyor.
Mali dolandırıcılık kampanyaları, bir trafik dağıtım sistemi (TDS) oluşturmak için DNS kurallı ad (CNAME) kayıtlarını kullanması ve böylece tehdit aktörlerinin en az Ağustos 2021'den bu yana tespit edilmekten kaçınmasına izin vermesiyle dikkat çekiyor.
CNAME kaydı, bir IP adresini işaret etmek yerine bir alan adını veya alt alan adını başka bir alan adıyla (yani bir takma adla) eşlemek için kullanılır. Bu yaklaşımın bir avantajı, ana bilgisayarın IP adresi değiştiğinde, yalnızca kök etki alanı için DNS A kaydının güncelleştirilmesi gerektiğidir.
Savvy Seahorse, bir CNAME kaydını (ve dolayısıyla bir IP adresini) paylaşan birkaç kısa ömürlü alt alan adı kaydederek bu tekniği kendi avantajına kullanır. Bu belirli alt alan adları, bir alan adı oluşturma algoritması (DGA) kullanılarak oluşturulur ve birincil kampanya alanıyla ilişkilendirilir.
Alan adlarının ve IP adreslerinin sürekli değişen doğası, altyapıyı yayından kaldırma çabalarına karşı dirençli hale getirerek, tehdit aktörlerinin kimlik avı siteleri kesintiye uğradıkça sürekli olarak yeni alan adları oluşturmasına veya CNAME kayıtlarını farklı bir IP adresiyle değiştirmesine olanak tanır.
VexTrio gibi tehdit aktörleri DNS'yi TDS olarak kullanmış olsa da, keşif, CNAME kayıtlarının bu tür amaçlar için ilk kez kullanıldığına işaret ediyor.
Facebook reklamlarına gömülü bağlantılara tıklayan kurbanlardan adlarını, e-posta adreslerini ve telefon numaralarını vermeleri isteniyor, ardından cüzdanlarına para eklemek için sahte ticaret platformuna yönlendiriliyorlar.
Infoblox, "Dikkat edilmesi gereken önemli bir ayrıntı, aktörün Ukrayna, Hindistan, Fiji, Tonga, Zambiya, Afganistan ve Moldova dahil olmak üzere önceden tanımlanmış bir ülke listesinden trafiği hariç tutmak için kullanıcının bilgilerini doğrulamasıdır, ancak bu belirli ülkeleri seçme nedenleri belirsizdir" dedi.
Gelişme, Guardio Labs'ın meşru markalara ve kurumlara ait binlerce alan adının, spam kampanyalarını yaymak için CNAME devralma adı verilen bir teknik kullanılarak ele geçirildiğini ortaya çıkarmasıyla geldi.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Dört REvil Ransomware Üyesi Nadir Rus Siber Suç Mahkumiyetlerinde Mahkum Edildi
Yeni Qilin.B Ransomware Varyantı, Geliştirilmiş Şifreleme ve Kaçınma Taktikleriyle Ortaya Çıkıyor
Yeni Grandoreiro Bankacılık Kötü Amaçlı Yazılım Varyantları, Tespit Edilmekten Kaçınmak İçin Gelişmiş Taktiklerle Ortaya Çıkıyor
ABD, iki Sudanlı kardeşi 35.000 DDoS saldırısı için suçladı
Yeni Kötü Amaçlı Yazılım Kampanyası, DarkVision RAT Sunmak için PureCrypter Loader'ı Kullanıyor
FBI, Yaygın Kripto Piyasası Manipülasyonunu Ortaya Çıkarmak İçin Sahte Kripto Para Birimi Oluşturuyor
OpenAI, Siber Suç ve Dezenformasyon için Yapay Zekayı Kullanan 20 Küresel Kötü Amaçlı Kampanyayı Engelliyor
Oyuncular, sahte hile komut dosyası motorları aracılığıyla Lua tabanlı kötü amaçlı yazılımları indirmeleri için kandırıldı