Siber güvenlik araştırmacıları, Federal Ticaret Komisyonu’na (FTC) göre, 2024-A% 24’lük rekor kıran bir kayıpla sonuçlanan yatırım dolandırıcılarında tehdit aktörleri tarafından kullanılan karmaşık taktikleri, teknikleri ve prosedürleri (TTP’ler) ortaya çıkardılar.
Genellikle kripto para birimi borsaları gibi meşru fırsatlar olarak gizlenen bu dolandırıcılıklar, kurbanları aldatmak için ileri teknolojik mekanizmalardan yararlanır.
Araştırmacılar, kayıtlı alan üretim algoritmalarını (RDGA’lar) kullanan pervasız tavşan ve acımasız tavşan gibi aktörleri, operasyonları ölçeklendirmelerini ve algılamadan kaçınmalarını sağlayan çok sayıda alan oluşturmaları için aktörleri tespit ettiler.
.png
)
Kötü amaçlı yazılımlarda kullanılan geleneksel alan üretim algoritmalarının (DGA’lar) aksine, RDGA’lar, genellikle meşru reklam içeriği ile iç içe geçmiş, kötü niyetli kullanım için önleyici olarak kayıtlı alanlar ile aktörlerin yakından korunan bir sırrı olmaya devam etmektedir.
Temel bir strateji olarak DNS sömürüsü
Araştırmadan eleştirel bir bulgu, bu dolandırıcıların omurgası olarak alan adı sisteminin (DNS) altyapısının kötüye kullanılmasını vurgulamaktadır.
Tehdit aktörleri, kurbanları coğrafi konuma dayalı sahte yatırım platformlarına yönlendirmek için trafik dağıtım sistemleri (TDSS) istihdam ederken, güvenlik araştırmacılarını veya botları Etoro gibi iyi huylu sitelere faaliyetlerini maskelemek için yönlendirir.
Örneğin, pervasız tavşan, gürültü oluşturmak için joker karakter yanıtlarını kullanır ve aktif kötü amaçlı alt alanları saptama çabalarını karmaşıklaştırır.
Ek olarak, aldatmaca sitelerine gömülü web formları kişisel verileri hasat eder, genellikle IP coğrafi konumuna dayalı ülke kodları gibi otomatik şekillendirme alanları, doğrulama kontrolleri kullanımı-ipinfo gibi meşru araçları kullanma[.]IO-Filter istenmeyen trafiği çıkarın.
Kasım 2022’den bu yana aktif olan Ruthless Rabbit, doğrudan kurban teması yerine doğrulama için rastgele e -posta adresleri oluşturmak üzere gizli komut dosyaları kullanarak genel API belgeleri ile özel bir gizleme hizmeti işletiyor.
Doğu Avrupalı kullanıcıları, yüksek getiri vaat eden sahte GazInvest platformları gibi temalarla hedefleyen kampanyaları, kötü niyetli içeriği doğrudan erişimden ikinci seviye alanlara (SLDS) gizlemek için URL yolu manipülasyonunu daha fazla sergiliyor.
Araştırma, bu aktörlerin, pervasız tavşanın Facebook gibi platformlarda meşru pazar içeriği ile dolandırıcı reklamların harmanlanması veya görüntü tanıma güvenlik araçlarını atlamak için tuzak alanlarını ve ilgisiz görüntüleri kullanma gibi aldatıcı taktikleri dağıtmada karmaşıklığını vurgulamaktadır.
Bu arada Ruthless Tavşan, uzun vadeli kampanyaları sürdürmek için Namecheap aracılığıyla kaydolan, özellikle Aeza ve Iroko ile adanmış IP’lerde 2.600’den fazla alana ev sahipliği yapıyor.
Her iki aktör de, alan adlarını eşleştiren web sitesi logolarını dinamik olarak uyarlamak ve özgünlük yanılsamasını geliştirmek için RDGA’lara büyük ölçüde güveniyor.
RDGA alanlarının hacmi-3 milyondan fazla gözlemlenen kurucu manuel izleme mümkün değil, yeniden yönlendirme zincirleri tamamlanmadan önce bu dolandırıcılıkları ölçeklendirme için otomatik DNS tabanlı algılama ihtiyacını vurgulamaktadır.
Yatırım dolandırıcılığı kârlılık ve karmaşıklıkta büyüdükçe, araştırmacılar aktörlerin bu teknikleri geliştirmeye devam edeceği konusunda uyarıyor, artan uyanıklığı ve bu artan tehdidi engellemeye devam ediyor.
Uzlaşma Göstergeleri (IOCS)
| Gösterge Türü | Örnekler |
|---|---|
| Pervasız tavşan alanları | Brilliantwallaby[.]bilgi, bakım vokal[.]com |
| Acımasız tavşan alanları | topsmot[.]Pro, GoalJob[.]profesyonel |
| İsimsiz aktör alanları | Bitcoin-Eprex[.]com, Quantumflash[.]org |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!