Siber güvenlik araştırmacıları, yırtılmış ünlü onayları aracılığıyla yatırım dolandırıcılıklarını düzenleyen ve trafik dağıtım sistemleri (TDSE’ler) aracılığıyla faaliyetlerini gizleyen iki tehdit aktöründeki kapağı kaldırdı.
Etkinlik kümeleri, DNS tehdit istihbarat firması Infoblox tarafından pervasız tavşan ve acımasız tavşan olarak adlandırılmıştır.
Saldırılar, daha sonra sosyal medya platformlarında ilan edilen kripto para birimi borsaları da dahil olmak üzere sahte platformlarla kurbanları cezbediyor. Bu dolandırıcılıkların önemli bir yönü, kullanıcı verilerini toplamak için web formlarının kullanılmasıdır.
Güvenlik araştırmacıları Darby Wise, Piotr Glaska ve Laura Da Rocha, “Percless Rabbit, Facebook’ta yatırım platformu için ünlü bir onay içeren sahte haber makalelerine yol açan reklamlar yaratıyor.” Dedi. “Makale, kullanıcıyı yatırım fırsatı için ‘kayıt’ yapmak için kişisel bilgilerini girmeye ikna eden gömülü bir web formu içeren aldatmaca platformuna bir bağlantı içeriyor.”
Bu formlardan bazıları, kullanıcıların adlarını, telefon numaralarını ve e-posta adreslerini talep etmenin yanı sıra, saldırının bir sonraki aşamasına ilerlemek için kullanılan önemli bir bilgi, doğrulama kontrolleri olan bir şifreyi otomatik olarak oluşturma olanağı sunar.
Tehdit Oyuncuları, IPInfo gibi meşru IP doğrulama araçlarına HTTP alma istekleri gerçekleştirir[.]IO, ipgeolocation[.]IO veya ipapi[.]CO, ilgilenmedikleri ülkelerden gelen trafiği filtrelemek için. Sağlanan numaraların ve e -posta adreslerinin otantik olmasını sağlamak için kontroller de yapılır.
Kullanıcının sömürüye layık olduğu düşünülürse, daha sonra onları doğrudan yüksek getiri vaat ederek fonlarıyla ayrılmaya veya temsilcilerinden bir çağrı beklemelerini söyleyen farklı bir sayfaya götüren bir TDS aracılığıyla yönlendirilirler.
Araştırmacılar, “Bazı kampanyalar, kurbanlara bir hesap oluşturma ve sahte yatırım platformuna nasıl para aktarma konusunda talimatlar sunmak için çağrı merkezlerini kullanıyor.” “Doğrulama adımını geçmeyen kullanıcılar için, birçok kampanya sadece bir ‘teşekkür’ açılış sayfası görüntüleyecektir.”
Etkinliğin önemli bir yönü, üretken Puma, Revolver Rabbit ve Vextrio Viper gibi diğer tehdit aktörleri tarafından da benimsenen bir teknik olan kabataslak yatırım platformları için alan adlarını ayarlamak için kayıtlı bir alan üretim algoritmasının (RDGA) kullanılmasıdır.
Geleneksel alan üretim algoritmalarının (DGA’lar) aksine, RDGA’lar tüm alan adlarını kaydetmek için gizli bir algoritma kullanır. Pervasız tavşanın Nisan 2024’e kadar alanlar oluşturduğu söyleniyor, öncelikle Rusya, Romanya ve Polonya’daki kullanıcıları hedef alırken, Afganistan, Somali, Liberya, Madagaskar ve diğerlerinden gelen trafiği hariç tutuyor.
Kullanıcıları sahte haber makalelerine yönlendirmek için kullanılan Facebook reklamları, tespit ve icra eyleminden kaçınmak için Amazon gibi pazarlarda satılmak üzere listelenen öğelerle ilgili reklam içeriği ile serpiştirilmiştir.
Dahası, reklamlar ilgisiz görüntüler içerir ve bir tuzak alanı görüntüler (örn., “Amazon[.]PL “) Bu, kullanıcının bağlantıya tıkladıktan sonra yönlendirileceği gerçek etki alanından farklıdır (örneğin,” Tyxarai[.]org “).
Öte yandan, acımasız tavşan, en azından Kasım 2022’den bu yana Doğu Avrupalı kullanıcılara yönelik yatırım dolandırıcılığı kampanyaları yürüttüğüne inanılıyor. Bu tehdit oyuncusunu birbirinden ayıran şey, kendi gizleme hizmetlerini çalıştırmalarıdır (“Mcraftdb[.]Tech “) doğrulama kontrollerini gerçekleştirmek için.
Doğrulama kontrollerini geçen kullanıcılar daha sonra, kayıt sürecini tamamlamak için finansal bilgilerini girmeleri istenen bir yatırım platformuna yönlendirilir.
Infoblox, “TDS, tehdit aktörlerinin altyapılarını güçlendirmelerini sağlayarak güvenlik araştırmacılarından ve botlardan kötü niyetli içeriği gizleme yeteneği sağlayarak daha esnek hale getiriyor.” Dedi.
Bu, Wild’da ilk kez bu hileli yatırım dolandırıcılığı kampanyaları keşfedilmedi. Aralık 2024’te ESET, sosyal medya kötü niyetli, şirket markalı yayınlar ve yapay zeka (AI) ile çalışan video referanslarının bir kombinasyonunu kullanan Nomani olarak adlandırılan benzer bir plana maruz kaldı.
Daha sonra geçen ay, İspanyol yetkililer, insanları aldatmak için popüler kamu figürleri içeren derin fena reklamlar üretmek için AI araçlarını kullanan büyük ölçekli bir kripto para birimi yatırım dolandırıcılığı yürüttüğü iddia edilen 34 ila 57 yaş arası altı kişiyi tutukladıklarını açıkladılar.
Infoblox’ta tehdit istihbarat başkan yardımcısı Renee Burton, Hacker News’e, bu faaliyetler ile pervasız tavşan ve acımasız tavşan tarafından yürütülenler arasında herhangi bir bağlantı olup olmadığını tespit etmek için herhangi bir kanıt olup olmadığını görmek için daha yakından bakmak zorunda kalacaklarını söyledi.
Araştırmacılar, “Pervasız ve acımasız tavşanlar gibi tehdit aktörleri mümkün olduğunca çok kullanıcıyı kandırma girişimlerinde acımasız olacaklar.” Dedi. Diyerek şöyle devam etti: “Bu tür dolandırıcıların onlar için çok karlı olduğu kanıtlandığından, hızla büyümeye devam edecekler – hem sayı hem de sofistike.”
Mystery Box Dolandırıcıları Facebook Reklamları aracılığıyla çoğalıyor
Geliştirme, Bitdefender’ın, kullanıcıları aylık abonelikleri ödemeye ve kredi kartı verilerini paylaşmaya kandırmak için 200’den fazla sahte web sitesinden oluşan bir ağdan yararlanan sofistike abonelik dolandırıcılıklarında bir artış uyarı olduğu için geliyor.
Romanya şirketi, “Suçlular Facebook sayfaları oluşturuyor ve zaten klasik ‘gizemli kutu’ aldatmaca ve diğer varyantları tanıtmak için tam reklamlar çıkarıyor.” Dedi. “‘Gizemli Kutu’ aldatmaca gelişti ve şimdi çeşitli mağazalara web sitelerine bağlantıların yanı sıra neredeyse gizli tekrarlayan ödemeler içeriyor. Facebook, bu yeni ve gelişmiş gizemli kutu dolandırıcılığı için ana platform olarak kullanılıyor.”
Rogue sponsorlu reklamlar, Zara gibi markalardan gelen satışların reklamını reklam yapar veya Apple ürünlerini içeren bir “gizemli kutu” satın alma şansı sunar ve bazen 2 $ kadar düşük olan asgari miktarda para ödeyerek bunlardan birini yakalayabileceklerini iddia ederek kullanıcıları ikna etmeye çalışır.
Siber suçlular, yalnızca biri kötü niyetli olan reklamın birden fazla sürümünü oluşturmak da dahil olmak üzere algılama çabalarını ortadan kaldırmak için çeşitli hileler kullanırken, diğerleri rastgele ürün görüntüleri sergiler.
Bu dolandırıcılık, pervasız tavşan ve acımasız tavşan tarafından uygulananlar gibi, kurbanların bot değil gerçek insanlar olmasını sağlamak için bir anket bileşeni ekliyor. Buna ek olarak, ödeme sayfaları, şüphesiz kullanıcıları, indirim yapma bahanesi altında gelirleri tekrarlayan tehdit aktörlerini kazanan bir abonelik programına dönüştürür.
Bitdefender araştırmacıları Răzvan Gosa ve Silviu Stahie, “Silviu Stahie,” Silviu Stahie, “Silviu Stahie,” Suçlular, taklit edilmemiş içerik oluşturucuları teşvik eden reklamlarda fon pompalıyor, şimdi bu dolandırıcılıkların sürüş gelir akışı gibi görünen aynı abonelik modelini kullanarak. “Dedi.
“Dolandırıcılar genellikle kimliğe bürünmüş markaları değiştiriyorlar ve mevcut gizemli kutuları geçmeye başladılar. Şimdi düşük kaliteli ürünler veya taklit makaleler, sahte yatırımlar, takviyeler ve çok daha fazlasını satmaya çalışıyorlar.”
ABD Hazine Yaptırımları Myanmar’da Cunta Bağlı Milisler aldatmaca bileşikleri
Bulgular ayrıca, ABD Hazinesi tarafından Myanmar bağlantılı Karen Ulusal Ordusu’na (KNA), organize suç sendikasyonlarına yardım ettiği için multi-milyar dolarlık dolandırıcılık bileşiklerinin yanı sıra insan kaçakçılığını ve sınır ötesi kaçakçılığı kolaylaştırmaya yönelik bir yaptırım dalgasını takip ediyor.
Eylemler ayrıca grubun lideri Saw Chit Thu ve iki oğlu Htoo Eh Moo’yu gördü ve Chit Chit’i gördü. Saw Chit Thu, 2023’te Birleşik Krallık ve 2024’te Avrupa Birliği tarafından bölgedeki aldatmaca operasyonlarının önemli bir kolaylaştırıcısı olduğu için onaylandı.
Sekreter Michael Faulkender, “KNA tarafından yönetilenler gibi siber aldatıcı operasyonlar, suçlu krallar ve ortakları için milyarlarca gelir elde ederken, kurbanları zor kazanılan tasarruflarından ve güvenlik duygusundan mahrum bırakıyor.” Dedi.
Bu romantizm yem aldatmacalarında, kendileri yüksek ücretli işlerle çekerek aldatmaca alanlarına kaçakçılan dolandırıcılar, çevrimiçi olarak hedefleme, zaman içinde onlarla uyum sağlayan ve suçlu aktörler tarafından kontrol edilen ticaret platformlarına yatırım yapmaya teşvik ediyorlar.
Hazine Departmanı, “KNA, diğer organize suç gruplarını kontrol ettiği araziyi kiralayarak endüstriyel ölçekte karlar, insan ticareti, kaçakçılık ve operasyonlara enerji sağlamak için kullanılan kamu hizmetlerinin satışı için destek sağlayarak endüstriyel ölçekte karlar.” Dedi. “KNA ayrıca Karen Eyaletindeki aldatmaca bileşiklerinde güvenlik sağlar.”
Birleşmiş Milletler Uyuşturucu ve Suç Ofisi (UNODC) geçen ay açıkladı, son baskılara rağmen aldatmaca merkezleri hala genişliyor ve yaklaşık 40 milyar dolarlık bir ayar için yıllık kar elde etti.