Η Savvy Seahorse στοχεύει επενδυτικές πλατφόρμες

Ο φορές απειλών με το όνομα Savvy Seahorse έχει παρατηρηθεί πως χρησιμοποιεί εξελιγμένες τακτικές ώστε να παρασύρει τα θύματά του σε ψεύτικες επενδυτικές πλατφόρμες και να μεταφέρει κλεμμένα χρηματικά ποσά σε ρωσικούς τραπεζικούς λογαριασμούς. Χρησιμοποιώντας διαφημίσεις στο Facebook, το Savvy Seahorse παρασύρει τους χρήστες σε δόλιους ιστότοπους που φαινομενικά είναι νόμιμες επενδυτικές πλατφόρμες, συχνά υποδυόμενοι γνωστές εταιρείες όπως η Tesla και το Facebook/Meta.

Σύμφωνα με τα ευρήματα της Infoblox, αυτό που κάνει η ομάδα Savvy Seahorse και ξεχωρίζει από προηγούμενες μεθόδους είναι η χρήση ψεύτικων bot των chatGPT και WhatsApp. Αυτά αυτοματοποιούν τις απαντήσεις στους χρήστες, πείθοντάς τους να αποκαλύψουν προσωπικές πληροφορίες με αντάλλαγμα υποσχέσεις περί υψηλές αποδόσεις επενδύσεων. «Αυτές οι εκστρατείες είναι γνωστό ότι στοχεύουν σε Ρώσους, Πολωνούς, Ιταλούς, Γερμανούς, Τσέχους, Τούρκους, Γάλλους, Ισπανούς και Αγγλόφωνους», εξήγησαν οι ερευνητές της Infoblox, Στέλιος Χατζηστόγιας, Laura da Rocha και Darby Wise.

Μια ιδιαίτερα σκοτεινή τεχνική που χρησιμοποιείται από την Savvy Seahorse περιλαμβάνει την αξιοποίηση εγγραφών κανονικών ονομάτων DNS (CNAME) για τη δημιουργία ενός συστήματος διανομής κίνησης (TDS) για τις εκστρατείες οικονομικής απάτης. «Ως αποτέλεσμα, η Savvy Seahorse μπορεί να ελέγχει ποιος έχει πρόσβαση στο περιεχόμενο και μπορεί να ενημερώνει δυναμικά τις διευθύνσεις IP των κακόβουλων εκστρατειών», έγραψαν οι ερευνητές. «Αυτή η τεχνική της χρήσης CNAMEs επέτρεψε στον απειλητικό παράγοντα να αποφύγει την ανίχνευση του από τη βιομηχανία ασφάλειας».