Một tác nhân đe dọa DNS mới có tên là Savvy Seahorse đang tận dụng các kỹ thuật tinh vi để lôi kéo các mục tiêu vào các nền tảng đầu tư giả mạo và đánh cắp tiền.
"Savvy Seahorse là một tác nhân đe dọa DNS, người thuyết phục nạn nhân tạo tài khoản trên các nền tảng đầu tư giả mạo, gửi tiền vào tài khoản cá nhân và sau đó chuyển những khoản tiền gửi đó đến một ngân hàng ở Nga", Infoblox cho biết trong một báo cáo được công bố vào tuần trước.
Mục tiêu của các chiến dịch bao gồm những người nói tiếng Nga, Ba Lan, Ý, Đức, Séc, Thổ Nhĩ Kỳ, Pháp, Tây Ban Nha và tiếng Anh, cho thấy các tác nhân đe dọa đang giăng một mạng lưới rộng lớn trong các cuộc tấn công của họ.
Người dùng bị dụ dỗ thông qua quảng cáo trên các nền tảng truyền thông xã hội như Facebook, đồng thời lừa họ chia tay thông tin cá nhân của họ để đổi lấy các cơ hội đầu tư được cho là có lợi nhuận cao thông qua các bot ChatGPT và WhatsApp giả mạo.
Các chiến dịch lừa đảo tài chính đáng chú ý khi sử dụng bản ghi tên chuẩn DNS (CNAME) để tạo hệ thống phân phối lưu lượng truy cập (TDS), do đó cho phép các tác nhân đe dọa trốn tránh sự phát hiện kể từ ít nhất là tháng 8/2021.
Bản ghi CNAME được sử dụng để ánh xạ miền hoặc miền phụ sang miền khác (tức là bí danh) thay vì trỏ đến địa chỉ IP. Một lợi thế với phương pháp này là khi địa chỉ IP của máy chủ thay đổi, chỉ cần cập nhật bản ghi DNS A cho miền gốc.
Savvy Seahorse tận dụng kỹ thuật này để tận dụng lợi thế của mình bằng cách đăng ký một số tên miền phụ tồn tại trong thời gian ngắn chia sẻ bản ghi CNAME (và do đó là địa chỉ IP). Các miền phụ cụ thể này được tạo bằng thuật toán tạo miền (DGA) và được liên kết với miền chiến dịch chính.
Bản chất luôn thay đổi của các tên miền và địa chỉ IP cũng làm cho cơ sở hạ tầng chống lại các nỗ lực gỡ xuống, cho phép các tác nhân đe dọa liên tục tạo tên miền mới hoặc thay đổi bản ghi CNAME của họ thành một địa chỉ IP khác khi các trang web lừa đảo của họ bị gián đoạn.
Trong khi các tác nhân đe dọa như VexTrio đã sử dụng DNS làm TDS, phát hiện này đánh dấu lần đầu tiên các bản ghi CNAME được sử dụng cho các mục đích như vậy.
Sự phát triển này diễn ra khi Guardio Labs tiết lộ rằng hàng ngàn tên miền thuộc về các thương hiệu và tổ chức hợp pháp đã bị tấn công bằng cách sử dụng một kỹ thuật gọi là CNAME takeover để truyền bá các chiến dịch spam.