黑客利用 Facebook 引诱受害者，向俄罗斯发送现金

    新发现的名为 Savvy Seahorse 的威胁行为者创建了虚假投资平台，在 Facebook 的帮助下引诱受害者，并将不义之财转移到俄罗斯国有银行。

    Infloblox 的威胁情报小组发布了一份关于 Savvy Seahorse 的新报告，该组织表示，这个域名系统 (DNS) 威胁行为者创建了虚假投资平台，受害者可以在其中存入资金，并通过欺骗特斯拉、Meta 等知名图标而被引诱进入。 、帝国石油公司等。

    更重要的是，该组织利用 Facebook 广告说服用户注册虚假平台，然后将这些存款转移到俄罗斯国有银行。

    据 Infoblox 研究人员称，Savvy Seahorse 的活动非常复杂，涉及先进技术，例如结合虚假的 ChatGPT 和 WhatsApp 机器人，为用户提供自动响应，敦促他们输入个人信息，以换取所谓的高回报投资机会。

    攻击者的目标是俄语、波兰语、意大利语、德语、捷克语、土耳其语、法语、西班牙语和英语。神秘的是，这些活动似乎专门保护乌克兰和其他一些国家的潜在受害者。

    Infoblox 表示，Savvy Seahorse 以一种隐晦的方式滥用 DNS。他们利用 DNS 规范名称 (CNAME) 记录为复杂的金融诈骗活动创建流量分配系统。

因此，Savvy Seahorse 可以控制谁有权访问内容，并可以动态更新恶意活动的 IP 地址。

    Infloblox 表示：“这种使用 CNAME 的技术使威胁行为者能够逃避安全行业的检测。”他补充说，Savvy Seahorse 至少自 2021 年 8 月以来一直在运营。

威胁行为者的活动采用了各种先进的诱骗技术，但它们都遵循相似的模式，最终目标是窃取受害者的个人和财务信息以获取金钱利益。

    一旦用户在嵌入虚假网页的虚假注册表中输入个人详细信息，他们就会被重定向到虚假交易平台。这将自动为他们设置一个帐户。

    然后，鼓励用户从多个不同来源向其“钱包”充值，包括 Visa/Mastercard、加密钱包或 Qiwi 和 YooMoney 等俄罗斯支付提供商。

• Savvy Seahorse 通过 Facebook 广告开展活动。
• 它们至少自 2021 年 8 月起就开始运营。 
• 他们使用专用托管并定期更改 IP 地址。 
• 单独的活动是短暂的（每个子域的广告时间为 5 到 10 天）。 
• 他们似乎使用分阶段部署系统，其中活动域的 CNAME 记录将根据其当前是否处于活动状态而更改。 
• 他们利用通配符 DNS 条目，这使他们能够快速创建大量独立的活动，但可能会给被动 DNS (pDNS) 分析带来混乱。 
• 受害者的个人数据被发送到基于 HTTP 的辅助 TDS 服务器以验证信息并应用地理围栏以排除乌克兰和其他少数国家/地区。
• 第二个基于 HTTP 的 TDS 还随着时间的推移跟踪用户 IP 和电子邮件地址。 

    Infoblox 研究人员表示，威胁行为者似乎正在将资金转移到俄罗斯大型国有银行 Sberbank。

    由于 Savvy Seahorse 通过 Facebook/元广告营销和分发这些活动，因此活动活动中使用的所有域都会与 Facebook 网站建立多个连接。该演员甚至使用合法工具 Meta Pixel 来跟踪和优化广告的效果。

    Savvy Seahorse 活动的具体主题可能差异很大，包括欺骗 Apple 等合法公司以获得投资机会，以及整合冒充 WhatsApp、ChatGPT 和 Tesla 的机器人。

Savvy Seahorse 在其整个运营过程中使用的最常见主题之一涉及“赚钱项目”或投资计划，声称用户如果使用个人信息注册，就有机会赚取特定金额的钱。

威胁行为者经常采用流行的网络钓鱼活动技术，试图冒充易于识别的品牌和公司来与用户建立信任。

    例如，一项俄语活动通过鼓励用户“加入埃隆·马斯克的项目”来欺骗 Tesla 和 X，每月获得 12,000 欧元（13,000 美元）。另一位则鼓励波兰用户参与“Libra 自动赚钱项目”，该项目据称是由 Meta 首席执行官马克·扎克伯格 (Mark Zuckerberg) 创建的。

    它相当精致——但仍然是假的。美国联邦贸易委员会最近报告称，2023 年美国投资诈骗造成的损失比任何其他类型的诈骗都要多，受害者被盗的金额总计超过 46 亿美元。

原文始发于微信公众号（OSINT研习社）：黑客利用 Facebook 引诱受害者，向俄罗斯发送现金