Infoblox siber güvenlik araştırmacıları, kullanıcıları sahte yatırım platformlarına yönlendirmek için Facebook reklamlarını kullanan ve mevduatları Rus devletine ait bankalara aktaran, DNS tehdit aktörü Savvy Seahorse tarafından başlatılan dolandırıcılık planı hakkında kullanıcıları uyarıyor.
Kaliforniya merkezli BT otomasyon ve güvenlik şirketi Infoblox, “Savvy Seahorse” adında nispeten yeni bir DNS tehdit aktörü keşfetti. Şirketin raporuna göre aktör, Tesla, Meta ve Imperial Oil gibi popüler simgeleri kullanarak sahte yatırım platformları oluşturuyor ve şüphelenmeyen kullanıcıları para yatırmaya teşvik ediyor.
Savvy Seahorse, kullanıcıları sahte yatırım platformlarına güvenmeleri için kandırmak ve mevduatlarını Rus devletine ait bankalara aktarmak için Facebook reklamlarını kullanmayı tercih ediyor. Savvy Seahorse, kullanıcıları FBI’ın İnternet Suçları Şikayet Merkezi’ne bildirilen en maliyetli tehdit kategorisi olan yüksek getirili yatırım dolandırıcılıklarına çekmek için sahte ChatGPT ve WhatsApp botları gibi gelişmiş teknikler kullanıyor.
ChatGPT ve WhatsApp botları, yüksek getirili yatırım fırsatları için otomatik yanıtlar aracılığıyla kullanıcıların ilgisini çeker. Bu kampanyalar, Rusça, Lehçe, İtalyanca, Almanca, Çekçe, Türkçe, Fransızca, İspanyolca ve İngilizce konuşanlar dahil olmak üzere çeşitli ülkelerdeki kullanıcıları hedefliyor ancak ilginç bir şekilde Ukrayna’daki kullanıcılar korunuyor.
Aktör, DNS kanonik adı (CNAME) kayıtları aracılığıyla, karmaşık mali dolandırıcılıkların yürütülmesi, içeriğe erişimin kontrol edilmesi ve kötü amaçlı kampanyaların IP adreslerinin güncellenmesi için bir trafik dağıtım sistemi (TDS) oluşturur. Bu aynı zamanda güvenlik sektörünün tespitinden kaçmalarına da yardımcı olur. 2021’den bu yana aktif olan Savvy Seahorse’un, karmaşık dolandırıcılık kampanyaları için DNS CNAME kayıtlarını kötüye kullandığı bildirilen ilk tehdit aktörü olduğunu belirtmekte fayda var.
Infoblox araştırmacıları bir blog yazısında Savvy Seahorse dolandırıcılığıyla ilgili birkaç tehlike işareti tespit etti. Bunlar arasında kısa ömürlü kampanyalar (yalnızca 5-10 gün boyunca aktif), aşamalı bir dağıtım sistemi kullanılması, IP adreslerinde sık sık yapılan değişiklikler (kötü amaçlı altyapının takibini karmaşıklaştırmak/engellemek için) ve joker karakterli DNS girişlerinin kullanımı yer alır.
Bu girişler, pasif DNS analizini potansiyel olarak kafa karıştırıcı hale getiren çok sayıda alt alan oluşturmayı gerektirir. Bu özellikler kötü amaçlı altyapının izlenmesini ve engellenmesini zorlaştırır. Kurbanların verileri, doğrulama ve coğrafi sınırlama için ikincil bir HTTP tabanlı TDS sunucusuna gönderilir.
Infoblox araştırmacıları, Savvy Seahorse tarafından kampanyaları barındırmak için CNAME kayıtlarına sahip yaklaşık 4,2 bin temel alan adının kullanıldığını doğruladı. Saldırganlar, sözde rastgele ana bilgisayar adlarını kullanarak bir etki alanı oluşturma algoritması kullanarak her SLD için alt etki alanları oluşturur. Kayıt formları mağdur bilgilerini toplamak için kullanılıyor ve formlar doğrulandıktan sonra sahte ticaret platformuna yönlendiriliyor. Aktör, güvenlik tehditlerini önlemek için kullanıcıları izler.
Dolandırıcılık, bireyler için mali kayıp, veri hırsızlığı ve kötü amaçlı yazılım bulaşması gibi potansiyel riskler oluşturur. Sahte platforma yatırım yapan kullanıcılar fonlarını kaybedebilir, dolandırıcılar ise kişisel ve finansal bilgileri çalabilir.
Bu nedenle tüketicilerin para yatırma konusunda doğrulanmamış kaynaklara güvenirken dikkatli olmaları gerekir. ABD’nin yatırım dolandırıcılıkları nedeniyle 2023’te kümülatif olarak 4,6 milyar dolardan fazla kaybettiğini unutmayın.
İLGİLİ KONULAR
- WhatsApp Pink, grup sohbetleri yoluyla yayılan kötü amaçlı yazılımdır
- Binlerce Karanlık Web Gönderisi ChatGPT’nin Kötüye Kullanım Planlarını Ortaya Çıkarıyor
- Çin, ChatGPT’yi Fidye Yazılımı Saldırıları İçin Silahlandıran 4 Kişiyi Tutukladı
- Sahte Telegram ve WhatsApp klonları Android ve Windows’ta kriptoyu hedefliyor
- SpyNote Android Casus Yazılımı Yasal Kripto Cüzdanı Gibi Görünüyor, Fon Çalıyor