Un gruppo di minacce denominato Savvy Seahorse sta sfruttando i record DNS CNAME (Canonical Name) per creare una sistema di distribuzione del traffico che alimenta campagne di truffe finanziarie. Il gruppo prende di mira le vittime tramite annunci su Facebook che le indirizzano verso false piattaforme di investimento, dove sono indotte a depositare fondi e inserire dati personali sensibili.
Caratteristiche delle campagne di Savvy Seahorse
- Interazione con Chatbot: Un aspetto notevole di queste campagne è l’utilizzo di chatbot che interagiscono direttamente con le vittime per convincerle della validità degli investimenti, automatizzando così il processo di truffa per gli aggressori.
- Durata delle Onde di Attacco: Secondo i ricercatori di Infoblox che hanno scoperto questa operazione, le attività di Savvy Seahorse sono in corso da almeno agosto 2021, manifestandosi in brevi onde di attacco che durano tra cinque e dieci giorni.
Uso dei Record DNS CNAME come TDS
Savvy Seahorse utilizza in modo creativo i record CNAME come un sistema di distribuzione del traffico (TDS) per le sue operazioni, permettendo ai malintenzionati di gestire facilmente cambiamenti, come la rotazione degli IP, per migliorare l’elusione del rilevamento. I record CNAME mappano un dominio o sottodominio a un altro nome di dominio invece di indirizzarlo direttamente a un indirizzo IP, agendo come un alias per il dominio di destinazione.
Savvy Seahorse registra più sottodomini per le sue onde di attacco che condividono un comune record CNAME, collegandolo a un dominio di campagna primario/base.
Questo permette a tutti questi record CNAME di avere lo stesso indirizzo IP ereditato dal sottodominio sul sito base, facilitando la rotazione verso nuove destinazioni senza modificare le impostazioni DNS del dominio di attacco.
Implicazioni e Difesa
Questa tecnica rende possibile cambiare destinazione quando un particolare indirizzo IP viene bloccato da software di sicurezza o per prevenire il rilevamento senza alterare le impostazioni DNS del dominio di attacco. Infoblox sottolinea che questo è il primo caso pubblicamente riportato di abuso di DNS CNAME per TDS, sebbene probabilmente non sia la prima volta che ciò accade.
Per proteggersi da questo tipo di attacco, è fondamentale educare gli utenti sulle truffe finanziarie online e sull’importanza della verifica delle fonti prima di fornire dati personali o finanziari. Inoltre, l’implementazione di soluzioni di sicurezza che monitorano e analizzano il traffico DNS può aiutare a identificare e bloccare tentativi di connessione a domini sospetti o malevoli.