Savvy Seahorse, un actor de amenazas en el ámbito del DNS (Sistema de Nombres de Dominio) involucrado en estafas financieras a gran escala, fue reportado por la empresa de servicios de seguridad y redes en la nube, Infoblox.
En un informe titulado Cuidado con las aguas poco profundas: Savvy Seahorse atrae a las víctimas a plataformas de inversión falsas a través de anuncios de Facebook, la compañía detalla cómo Savvy Seahorse, que opera desde agosto de 2021, ha estado engañando a las personas para que depositen dinero en plataformas de inversión fraudulentas, haciéndose pasar por empresas conocidas como Tesla, Meta o Imperial Oil. Utilizan diversas tácticas sofisticadas, como chatbots falsos, seguimiento de Meta Pixel y múltiples dominios de procesamiento de pagos.
Con el crecimiento exponencial de las estafas de inversión, que han costado a los consumidores más de 4,600 millones de dólares sólo en 2023, el descubrimiento de Savvy Seahorse es crucial.
Este tipo de estafas ha sido identificado como la principal fuente de fraude en Estados Unidos, con pérdidas significativas reportadas a nivel mundial, y las pérdidas a causa de este tipo de estafas superaron los 10 mil millones de dólares en 2023.
Este actor de amenazas utiliza una técnica previamente no reportada que abusa del sistema de nombres de dominio para distribuir tráfico a sus campañas fraudulentas y eludir la detección. El informe ofrece un análisis exhaustivo de las operaciones, infraestructura y técnicas de Savvy Seahorse, así como indicadores de actividad para ayudar a identificar y bloquear a este actor.
De acuerdo con Infoblox, las campañas de Savvy Seahorse son “altamente sofisticadas e implican técnicas avanzadas, como la incorporación de bots falsos de ChatGPT y WhatsApp para persuadir a los usuarios a ingresar información personal a cambio de supuestas oportunidades de inversión de alto rendimiento”. Estas campañas se dirigen a hablantes de varios idiomas y regiones, mientras protegen específicamente a víctimas potenciales en Ucrania y otros países.
Savvy Seahorse también abusa del sistema de nombres de dominio utilizando registros de nombres canónicos (CNAME) de DNS para crear un sistema de distribución de tráfico para sus campañas de estafa financiera. Esta técnica les permite controlar el acceso al contenido y actualizar dinámicamente las direcciones IP de las campañas maliciosas, evitando así la detección de la industria de seguridad.
El informe destaca que esta técnica de uso de CNAME representa un desafío para los investigadores y defensores de amenazas, ya que permite a Savvy Seahorse evadir la detección.
La compañía de seguridad informa que está enfocada en descubrir nuevas estrategias por las cuales los delincuentes cibernéticos utilizan el DNS para encubrir sus actividades ilícitas. La técnica de Savvy Seahorse de DNS CNAME ilustra la efectividad del DNS para rastrear y detener las acciones de los criminales en línea.
De hecho, señala que el análisis de los patrones CNAME fue fundamental para identificar a este actor y comprender las tácticas, técnicas y procedimientos únicos que emplea en su extensa red de campañas fraudulentas.
