Siber Suçlular Yatırım Dolandırıcılığı İçin Yeni DNS Ele Geçirme Tekniği Kullanıyor


05 Mart 2024Haber odasıSiber suç / Kötü Amaçlı Yazılım

Yatırım Dolandırıcılıkları

Yeni bir DNS tehdit aktörü Bilgili Denizatı Hedefleri sahte yatırım platformlarına çekmek ve fon çalmak için karmaşık tekniklerden yararlanıyor.

Infoblox geçen hafta yayınlanan bir raporda, “Savvy Seahorse, kurbanları sahte yatırım platformlarında hesap oluşturmaya, kişisel hesaplara para yatırmaya ve ardından bu mevduatları Rusya'daki bir bankaya aktarmaya ikna eden bir DNS tehdit aktörüdür.” dedi.

Kampanyaların hedefinde Rusça, Lehçe, İtalyanca, Almanca, Çekçe, Türkçe, Fransızca, İspanyolca ve İngilizce konuşanların yer alması, tehdit aktörlerinin saldırılarında geniş bir ağ kurduğunu gösteriyor.

Kullanıcılar, Facebook gibi sosyal medya platformlarındaki reklamlar yoluyla kandırılıyor ve aynı zamanda sahte ChatGPT ve WhatsApp botları aracılığıyla iddia edilen yüksek getirili yatırım fırsatları karşılığında kişisel bilgilerini vermeleri için kandırılıyorlar.

Siber güvenlik

Mali dolandırıcılık kampanyaları, bir trafik dağıtım sistemi (TDS) oluşturmak için DNS kanonik adı (CNAME) kayıtlarını kullanması ve böylece tehdit aktörlerinin en az Ağustos 2021'den bu yana tespitten kaçmasına olanak sağlamasıyla dikkat çekiyor.

Bir CNAME kaydı, bir etki alanını veya alt etki alanını, bir IP adresini işaret etmek yerine başka bir etki alanıyla (yani takma adla) eşlemek için kullanılır. Bu yaklaşımın bir avantajı, ana bilgisayarın IP adresi değiştiğinde yalnızca kök etki alanına ait DNS A kaydının güncellenmesinin gerekmesidir.

Savvy Seahorse, bir CNAME kaydını (ve dolayısıyla bir IP adresini) paylaşan birkaç kısa ömürlü alt alanı kaydederek bu tekniği kendi avantajına kullanır. Bu spesifik alt alanlar, bir alan oluşturma algoritması (DGA) kullanılarak oluşturulur ve birincil kampanya alanıyla ilişkilendirilir.

Alan adlarının ve IP adreslerinin sürekli değişen doğası, altyapıyı yayından kaldırma çabalarına karşı dirençli hale getirerek, tehdit aktörlerinin kimlik avı siteleri kesintiye uğradığında sürekli olarak yeni alanlar oluşturmasına veya CNAME kayıtlarını farklı bir IP adresiyle değiştirmesine olanak tanır.

VexTrio gibi tehdit aktörleri DNS'yi TDS olarak kullansa da bu keşif, CNAME kayıtlarının bu tür amaçlarla ilk kez kullanıldığına işaret ediyor.

Siber güvenlik

Facebook reklamlarında yer alan bağlantıları tıklayan mağdurlardan isimlerini, e-posta adreslerini ve telefon numaralarını vermeleri isteniyor ve ardından cüzdanlarına para eklemek için sahte ticaret platformuna yönlendiriliyorlar.

“Dikkate alınması gereken önemli bir ayrıntı, aktörün, Ukrayna, Hindistan, Fiji, Tonga, Zambiya, Afganistan ve Moldova dahil olmak üzere önceden tanımlanmış bir ülke listesinden gelen trafiği hariç tutmak için kullanıcının bilgilerini doğrulamasıdır; ancak bu belirli ülkeleri seçme nedenleri belirsizdir. ” Infoblox kaydetti.

Bu gelişme, Guardio Labs'ın meşru markalara ve kurumlara ait binlerce alan adının, spam kampanyalarını yaymak için CNAME devralma adı verilen bir teknik kullanılarak ele geçirildiğini ortaya çıkarmasıyla ortaya çıktı.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link