Savvy Seahorse集团利用CNAME记录欺骗投资者

阅读量12391

发布时间 : 2024-03-01 11:15:57




欺诈者从技术上利用 DNS 来绕过安全系统。

Infoblox报告 称,Savvy Seahorse 网络犯罪组织正在滥用 CNAME 记录来 创建支持金融欺诈活动的流量分配系统。该行动于 2021 年 8 月开始,特点是持续 5 至 10 天的短波攻击。

诈骗者通过 Facebook 广告吸引受害者,将他们引导至虚假投资平台,诱骗人们存入资金并输入敏感个人信息。这些活动的一个显着特点是使用聊天机器人直接与受害者互动,让他们相信投资回报率很高,并使欺诈过程自动化。

Savvy Seahorse 创造性地使用规范名称 (CNAME) 记录作为其运营的流量交付系统 ( TDS ),使其能够轻松更改 IP 地址以逃避检测。

CNAME 记录是一种DNS记录,它将域或子域映射到另一个域名,而不是直接映射到 IP 地址。这会导致 CNAME 充当目标域的别名,从而更轻松地管理重定向并确保对目标域 IP 地址的任何更改也自动应用于 CNAME。


精明的海马攻击模式

为了进行攻击,Savvy Seahorse 注册了许多子域,这些子域通过指向该活动主域的通用 CNAME 记录链接。该技术为所有条目提供单一 IP 地址,当 IP 地址被安全工具阻止时,可以更轻松地轮换目标,并有助于避免检测。

这种方法要求攻击者拥有更深入的 DNS 知识,但迄今为止网络安全文献中对此的探索仍然很少。Infoblox 指出,这是第一起公开记录的 TDS 滥用 CNAME 案例。

Savvy Seahorse 使用域名生成算法 (DGA) 在 CNAME TDS 系统中创建和管理数千个域名。此类域可以将其状态从“停放”更改为“测试中”和“活动活动”,这使得其基础设施难以跟踪和映射。

Savvy Seahorse 的与众不同之处在于,它将其基础设施分布在多个注册商和托管提供商之间,以实现低可见性和运营弹性。

欺诈性子域名托管旨在窃取受骗受害者个人信息的注册表单。发送数据后,子域名会验证受害者的IP地址和所提供信息的真实性,然后将经过验证的用户重定向到虚假交易平台,要求他们使用银行卡、加密货币和其他支付方式充值余额。

模仿 ChatGPT、WhatsApp 和 Tesla 的聊天机器人在社会工程中发挥着关键作用。诈骗页面还使用 Meta* Pixel 跟踪器来跟踪性能,这可能用于改进策略。


分享到:微信
+16赞
收藏
ISC6196381205
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66