Identificado un actor malicioso responsable de estafas financieras masivas
Infoblox, compañía especializada en ciberseguridad y gestión cloud de servicios de red, ha anunciado la identificación por parte de su unidad de inteligencia de seguridad, Infoblox Threat Intel Group, de un nuevo actor DNS malicioso involucrado en diferentes estafas financieras a gran escala.
Este actor de amenazas utiliza una técnica de la que no se había informado hasta el momento, y que aprovecha el sistema DNS para distribuir tráfico de campañas fraudulentas y eludir la detección.
En un informe publicado recientemente (https://blogs.infoblox.com/cyber-threat-intelligence/beware-the-shallow-waters-savvy-seahorse-lures-victims-to-fake-investment-platforms-through-facebook-ads/) Infoblox detalla cómo este actor malicioso, bautizado como Savvy Seahorse y operativo desde agosto de 2021, redirige a usuarios interesados en realizar inversiones financieras a plataformas de inversión que utilizan fraudulentamente el nombre de conocidas empresas como Tesla, Meta o Imperial Oil. Utiliza diversas tácticas, como chatbots falsos, seguimiento de Meta Pixel y múltiples dominios de procesamiento de pagos. El informe ofrece un análisis exhaustivo de las operaciones, infraestructura y técnicas de Savvy Seahorse, así como indicadores de actividad para ayudar a identificar y bloquear a este actor.
Las campañas de Savvy Seahorse son altamente sofisticadas e implican técnicas avanzadas, como la incorporación de bots falsos de ChatGPT y WhatsApp para lograr que los usuarios introduzcan información personal a cambio de supuestas oportunidades de inversión de alto rendimiento. Estas campañas se dirigen a hablantes de varios idiomas y regiones.
El “caballito de mar” también utiliza fraudulentamente el sistema de registros de nombres canónicos (CNAME) de DNS para crear un sistema de distribución de tráfico malicioso, controlando el acceso al contenido y actualizar dinámicamente las direcciones IP de las campañas maliciosas, evitando así la detección por parte de los proveedores de soluciones de ciberseguridad. El informe destaca que esta técnica de uso de CNAME representa un importante reto para los investigadores y profesionales de la seguridad, ya que permite evadir la detección. El análisis de los patrones CNAME ha resultado fundamental para identificar a este actor y entender las tácticas, técnicas y procedimientos únicos que emplea en su extensa red de campañas fraudulentas.
Con el crecimiento exponencial de las estafas de inversión, que han costado a los usuarios más de 4.600 millones de dólares solo en 2023, el descubrimiento de Savvy Seahorse es muy importante. Este tipo de estafas ha sido identificado como la principal fuente de fraude en los Estados Unidos, con pérdidas significativas reportadas a nivel mundial, y las pérdidas a causa de este tipo de estafas superaron los 10.000 millones de dólares en 2023.
Infoblox sigue trabajando en la identificación de nuevas estrategias mediante las cuales los delincuentes cibernéticos utilizan el DNS para encubrir sus actividades ilícitas. La técnica de Savvy Seahorse de DNS CNAME ilustra la efectividad del DNS para rastrear y detener las acciones de los criminales en línea.