Infoblox revela amenazas financieras de piratas informáticos Savvy Seahorse
Atraen a las víctimas a plataformas de inversión falsas a través de anuncios de Facebook
Infoblox Inc., líder en servicios de seguridad y redes en la nube revela la presencia de Savvy Seahorse, un actor de amenazas en el ámbito del DNS involucrado en estafas financieras a gran escala.
En un informe titulado "Cuidado con las aguas poco profundas: Savvy Seahorse atrae a las víctimas a plataformas de inversión falsas a través de anuncios de Facebook", la compañía detalla cómo Savvy Seahorse,que ha estado operando desde agosto de 2021, ha estado engañando a las personas para que depositen dinero en plataformas de inversión fraudulentas, haciéndose pasar por empresas conocidas como Tesla, Meta o Imperial Oil. Utilizan diversas tácticas sofisticadas, como chatbots falsos, seguimiento de Meta Pixel y múltiples dominios de procesamiento de pagos.
Con el crecimiento exponencial de las estafas de inversión, que han costado a los consumidores más de 4.600 millones de dólares solo en 2023, el descubrimiento de Savvy Seahorse es crucial. Este tipo de estafas ha sido identificado como la principal fuente de fraude en los Estados Unidos, con pérdidas significativas reportadas a nivel mundial, y las pérdidas a causa de este tipo de estafas superaron los 10 mil millones de dólares en 2023.
Este actor de amenazas utiliza una técnica previamente no reportada que abusa del sistema de nombres de dominio para distribuir tráfico a sus campañas fraudulentas y eludir la detección. El informe ofrece un análisis exhaustivo de las operaciones, infraestructura y técnicas de Savvy Seahorse, así como indicadores de actividad para ayudar a identificar y bloquear a este actor.
Las campañas de Savvy Seahorse son altamente sofisticadas e implican técnicas avanzadas, como la incorporación de bots falsos de ChatGPT y WhatsApp para persuadir a los usuarios a ingresar información personal a cambio de supuestas oportunidades de inversión de alto rendimiento. Estas campañas se dirigen a hablantes de varios idiomas y regiones, mientras protegen específicamente a víctimas potenciales en Ucrania y otros países.
Savvy Seahorse también abusa del sistema de nombres de dominio utilizando registros de nombres canónicos (CNAME) de DNS para crear un sistema de distribución de tráfico para sus campañas de estafa financiera. Esta técnica les permite controlar el acceso al contenido y actualizar dinámicamente las direcciones IP de las campañas maliciosas, evitando así la detección de la industria de seguridad.
El informe destaca que esta técnica de uso de CNAME representa un desafío para los investigadores y defensores de amenazas, ya que permite a Savvy Seahorse evadir la detección.
Infoblox continúa enfocado en descubrir nuevas estrategias mediante las cuales los delincuentes cibernéticos utilizan el DNS para encubrir sus actividades ilícitas. La técnica de Savvy Seahorse de DNS CNAME ilustra la efectividad del DNS para rastrear y detener las acciones de los criminales en línea.
El análisis de los patrones CNAME fue fundamental para identificar a este actor y comprender las tácticas, técnicas y procedimientos únicos que emplea en su extensa red de campañas fraudulentas.
