Un acteur malveillant nommé Savvy Seahorse abuse du système de noms de domaine des enregistrements DNS CNAME pour créer un système de distribution de trafic qui alimente les campagnes d’escroquerie financière.
L’acteur de la menace cible les victimes par le biais de publicités Facebook qui les dirigent vers de fausses plateformes d’investissement où elles sont amenées à déposer des fonds et à saisir des données personnelles sensibles.
Un aspect notable de ces campagnes est qu’elles impliquent des chatbots qui interagissent directement avec les victimes pour les convaincre de rendements d’investissement élevés, automatisant le processus d’escroquerie pour les attaquants.
Les chercheurs d’Infoblox qui ont découvert cette opération disent qu’elle est en cours depuis au moins août 2021, se manifestant par de courtes vagues d’attaque qui durent entre cinq et dix jours.
Utilisation des enregistrements DNS CNAME en tant que TDS
Savvy Seahorse utilise de manière créative les enregistrements de nom canonique (CNAME) en tant que Système de distribution du trafic (TDS) pour ses opérations, permettant aux acteurs de la menace de gérer facilement les modifications, telles que la rotation des adresses IP qui améliore l’évasion de détection.
Un enregistrement CNAME est un enregistrement DNS qui mappe un domaine ou un sous-domaine à un autre nom de domaine au lieu de directement à une adresse IP.
Cela fait que le CNAME agit comme un alias pour le domaine cible, ce qui facilite la gestion des redirections et garantit que toute modification de l’adresse IP du domaine cible s’applique également automatiquement au CNAME.
Savvy Seahorse enregistre plusieurs sous-domaines pour ses vagues d’attaque qui partagent un enregistrement CNAME commun le liant au domaine de campagne principal/de base, par exemple, » b36cname[.] site. »
Cela permet à tous ces enregistrements CNAME d’avoir la même adresse IP héritée du sous-domaine sur le b36cname [.] site, comme illustré ci-dessous.
Cette technique permet de tourner vers de nouvelles destinations lorsque le logiciel de sécurité bloque une adresse IP particulière ou d’empêcher la détection sans modifier les paramètres DNS du domaine d’attaque.
Infoblox dit qu’il s’agit du premier cas publiquement signalé d’abus de CNAMEs DNS pour TDS, bien que ce ne soit probablement pas la première fois que cela se produise, ils ont donc décidé de nommer la méthode ‘CNAME TDS.’
« Savvy Seahorse est le premier acteur menaçant signalé publiquement qui abuse des noms de domaine DNS dans le cadre d’un TDS malveillant », explique Infoblox.
« Bien que cela nécessite plus de sophistication dans le DNS de la part de l’auteur de la menace, ce n’est pas rare—tout simplement méconnu jusqu’à présent dans la littérature sur la sécurité. »
À l’aide d’algorithmes de génération de domaines (DGA), Savvy Seahorse crée et gère des milliers de domaines utilisés dans le système CNAME TDS.
L’auteur de la menace utilise des réponses DNS génériques pour modifier le statut de ces domaines de « parqué », » en test » et « campagne active », ce qui complique le suivi et la cartographie de son infrastructure.
De plus, contrairement à la plupart des acteurs de la menace, Savvy Seahorse étend son infrastructure à plusieurs bureaux d’enregistrement et fournisseurs d’hébergement, ce qui permet à la fois d’échapper à l’attribution et d’atteindre la résilience opérationnelle.
Détails de la campagne
Savvy Seahorse fait la promotion d’escroqueries en matière d’investissement avec des leurres écrits en anglais, Russe, Polonais, Italien, Allemand, Français, Espagnol, Tchèque et Turc, indiquant la portée mondiale du ciblage de l’acteur de la menace.
Les sous-domaines malveillants utilisés dans les attaques hébergent des formulaires d’inscription conçus pour voler les informations personnelles des victimes trompées.
Une fois ces données soumises, un domaine secondaire valide l’emplacement de la victime en fonction de son adresse IP et de la légitimité des informations fournies et redirige les utilisateurs approuvés vers une fausse plateforme de trading.
Là, les victimes peuvent choisir de recharger leurs soldes d’investissement en utilisant des cartes de crédit, des crypto-monnaies et d’autres méthodes de paiement.
La vidéo suivante montre en détail l’une de ces plateformes frauduleuses:
Les chatbots se faisant passer pour ChatGPT, WhatsApp et Tesla, entre autres entités bien connues, augmentent la légitimité apparente et jouent un rôle essentiel dans l’aspect ingénierie sociale de l’attaque.
Infoblox indique que les pages malveillantes utilisent également des trackers métapixels pour le suivi des performances, ce qui est probablement utilisé pour affiner les tactiques.