新发现的名为 Savvy Seahorse 的威胁行为者创建了虚假投资平台,在 Facebook 的帮助下引诱受害者,并将不义之财转移到俄罗斯国有银行。
Infloblox 的威胁情报小组发布了一份关于 Savvy Seahorse 的新报告,该组织表示,这个域名系统 (DNS) 威胁行为者创建了虚假投资平台,受害者可以在其中存入资金,并通过欺骗特斯拉、Meta 等知名图标而被引诱进入。 、帝国石油公司等。
更重要的是,该组织利用 Facebook 广告说服用户注册虚假平台,然后将这些存款转移到俄罗斯国有银行。
据 Infoblox 研究人员称,Savvy Seahorse 的活动非常复杂,涉及先进技术,例如结合虚假的 ChatGPT 和 WhatsApp 机器人,为用户提供自动响应,敦促他们输入个人信息,以换取所谓的高回报投资机会。
攻击者的目标是俄语、波兰语、意大利语、德语、捷克语、土耳其语、法语、西班牙语和英语。神秘的是,这些活动似乎专门保护乌克兰和其他一些国家的潜在受害者。
Infoblox 表示,Savvy Seahorse 以一种隐晦的方式滥用 DNS。他们利用 DNS 规范名称 (CNAME) 记录为复杂的金融诈骗活动创建流量分配系统。
因此,Savvy Seahorse 可以控制谁有权访问内容,并可以动态更新恶意活动的 IP 地址。
Infloblox 表示:“这种使用 CNAME 的技术使威胁行为者能够逃避安全行业的检测。”他补充说,Savvy Seahorse 至少自 2021 年 8 月以来一直在运营。
威胁行为者的活动采用了各种先进的诱骗技术,但它们都遵循相似的模式,最终目标是窃取受害者的个人和财务信息以获取金钱利益。
一旦用户在嵌入虚假网页的虚假注册表中输入个人详细信息,他们就会被重定向到虚假交易平台。这将自动为他们设置一个帐户。
然后,鼓励用户从多个不同来源向其“钱包”充值,包括 Visa/Mastercard、加密钱包或 Qiwi 和 YooMoney 等俄罗斯支付提供商。
-
Savvy Seahorse 通过 Facebook 广告开展活动。 -
它们至少自 2021 年 8 月起就开始运营。 -
他们使用专用托管并定期更改 IP 地址。 -
单独的活动是短暂的(每个子域的广告时间为 5 到 10 天)。 -
他们似乎使用分阶段部署系统,其中活动域的 CNAME 记录将根据其当前是否处于活动状态而更改。 -
他们利用通配符 DNS 条目,这使他们能够快速创建大量独立的活动,但可能会给被动 DNS (pDNS) 分析带来混乱。 -
受害者的个人数据被发送到基于 HTTP 的辅助 TDS 服务器以验证信息并应用地理围栏以排除乌克兰和其他少数国家/地区。 -
第二个基于 HTTP 的 TDS 还随着时间的推移跟踪用户 IP 和电子邮件地址。
Infoblox 研究人员表示,威胁行为者似乎正在将资金转移到俄罗斯大型国有银行 Sberbank。
由于 Savvy Seahorse 通过 Facebook/元广告营销和分发这些活动,因此活动活动中使用的所有域都会与 Facebook 网站建立多个连接。该演员甚至使用合法工具 Meta Pixel 来跟踪和优化广告的效果。
Savvy Seahorse 活动的具体主题可能差异很大,包括欺骗 Apple 等合法公司以获得投资机会,以及整合冒充 WhatsApp、ChatGPT 和 Tesla 的机器人。
Savvy Seahorse 在其整个运营过程中使用的最常见主题之一涉及“赚钱项目”或投资计划,声称用户如果使用个人信息注册,就有机会赚取特定金额的钱。
威胁行为者经常采用流行的网络钓鱼活动技术,试图冒充易于识别的品牌和公司来与用户建立信任。
例如,一项俄语活动通过鼓励用户“加入埃隆·马斯克的项目”来欺骗 Tesla 和 X,每月获得 12,000 欧元(13,000 美元)。另一位则鼓励波兰用户参与“Libra 自动赚钱项目”,该项目据称是由 Meta 首席执行官马克·扎克伯格 (Mark Zuckerberg) 创建的。
它相当精致——但仍然是假的。美国联邦贸易委员会最近报告称,2023 年美国投资诈骗造成的损失比任何其他类型的诈骗都要多,受害者被盗的金额总计超过 46 亿美元。
原文始发于微信公众号(OSINT研习社):黑客利用 Facebook 引诱受害者,向俄罗斯发送现金
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论