Siber Suçlular Yatırım Dolandırıcılığı için Yeni DNS Ele Geçirme Tekniğini Kullanıyor

Infoblox geçen hafta yayınlanan bir raporda, "Savvy Seahorse, kurbanları sahte yatırım platformlarında hesap oluşturmaya, kişisel bir hesaba para yatırmaya ve ardından bu mevduatları Rusya'daki bir bankaya aktarmaya ikna eden bir DNS tehdit aktörüdür" dedi.

Kampanyaların hedefleri arasında Rusça, Lehçe, İtalyanca, Almanca, Çekçe, Türkçe, Fransızca, İspanyolca ve İngilizce konuşanlar yer alıyor ve bu da tehdit aktörlerinin saldırılarında geniş bir ağ oluşturduğunu gösteriyor.

Kullanıcılar, Facebook gibi sosyal medya platformlarındaki reklamlar aracılığıyla cezbedilirken, aynı zamanda sahte ChatGPT ve WhatsApp botları aracılığıyla iddia edilen yüksek getirili yatırım fırsatları karşılığında kişisel bilgilerini paylaşmaları için kandırılıyor.

Mali dolandırıcılık kampanyaları, bir trafik dağıtım sistemi (TDS) oluşturmak için DNS kurallı ad (CNAME) kayıtlarını kullanması ve böylece tehdit aktörlerinin en az Ağustos 2021'den bu yana tespit edilmekten kaçınmasına izin vermesiyle dikkat çekiyor.

CNAME kaydı, bir IP adresini işaret etmek yerine bir alan adını veya alt alan adını başka bir alan adıyla (yani bir takma adla) eşlemek için kullanılır. Bu yaklaşımın bir avantajı, ana bilgisayarın IP adresi değiştiğinde, yalnızca kök etki alanı için DNS A kaydının güncelleştirilmesi gerektiğidir.

Savvy Seahorse, bir CNAME kaydını (ve dolayısıyla bir IP adresini) paylaşan birkaç kısa ömürlü alt alan adı kaydederek bu tekniği kendi avantajına kullanır. Bu belirli alt alan adları, bir alan adı oluşturma algoritması (DGA) kullanılarak oluşturulur ve birincil kampanya alanıyla ilişkilendirilir.

Alan adlarının ve IP adreslerinin sürekli değişen doğası, altyapıyı yayından kaldırma çabalarına karşı dirençli hale getirerek, tehdit aktörlerinin kimlik avı siteleri kesintiye uğradıkça sürekli olarak yeni alan adları oluşturmasına veya CNAME kayıtlarını farklı bir IP adresiyle değiştirmesine olanak tanır.

VexTrio gibi tehdit aktörleri DNS'yi TDS olarak kullanmış olsa da, keşif, CNAME kayıtlarının bu tür amaçlar için ilk kez kullanıldığına işaret ediyor.

Facebook reklamlarına gömülü bağlantılara tıklayan kurbanlardan adlarını, e-posta adreslerini ve telefon numaralarını vermeleri isteniyor, ardından cüzdanlarına para eklemek için sahte ticaret platformuna yönlendiriliyorlar.

Infoblox, "Dikkat edilmesi gereken önemli bir ayrıntı, aktörün Ukrayna, Hindistan, Fiji, Tonga, Zambiya, Afganistan ve Moldova dahil olmak üzere önceden tanımlanmış bir ülke listesinden trafiği hariç tutmak için kullanıcının bilgilerini doğrulamasıdır, ancak bu belirli ülkeleri seçme nedenleri belirsizdir" dedi.

Gelişme, Guardio Labs'ın meşru markalara ve kurumlara ait binlerce alan adının, spam kampanyalarını yaymak için CNAME devralma adı verilen bir teknik kullanılarak ele geçirildiğini ortaya çıkarmasıyla geldi.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği