Los piratas informáticos 'Savvy Seahorse' presentan un novedoso truco DNS CNAME

Un actor de amenazas recientemente descubierto está ejecutando una estafa de inversión a través de un sistema de distribución de tráfico (TDS) inteligentemente diseñado, que aprovecha el Sistema de nombres de dominio (DNS) para mantener sus dominios maliciosos en constante cambio y resistentes a las eliminaciones.

“Savvy Seahorse” se hace pasar por marcas importantes como Meta y Tesla y, a través de anuncios de Facebook en nueve idiomas, atrae a las víctimas para que creen cuentas en una plataforma de inversión falsa. Una vez que las víctimas depositan fondos en sus cuentas, el dinero se canaliza a una cuenta presuntamente controlada por el atacante en un banco estatal ruso.

Es un tipo de estafa común. Según la Comisión Federal de Comercio (FTC), los consumidores estadounidenses informaron haber perdido 4.6 millones de dólares debido a estafas de inversión solo en 2023. Eso es casi la mitad de los 10 millones de dólares que, según se informa, se han perdido en todo tipo de estafas, lo que la convierte en la más rentable que existe.

Entonces, lo que separa a Savvy Seahorse del resto no es el carácter de su artimaña sino, más bien, la infraestructura que la respalda.

Como se describe en un nuevo informe de Infoblox, opera un TDS con miles de dominios variados y fluidos. Lo que mantiene unido todo el sistema es un registro de Nombre Canónico (CNAME), una propiedad de DNS que de otro modo sería insulsa y que utiliza para garantizar que, como el barco de Teseo, su TDS pueda crear continuamente dominios nuevos y deshacerse de los antiguos sin cambiar nada en absoluto. sobre la campaña en sí.

Ataques TDS potenciados a través de DNS

"Normalmente pensamos que TDS está en el mundo HTTP: entra una conexión, tomo las huellas dactilares de su dispositivo y, según sus huellas dactilares, puedo enviarle algún malware o estafa o puedo negarle el servicio", explica Renée Burton, jefe de inteligencia de amenazas en Infoblox.

De hecho, en los últimos años se han desarrollado ecosistemas completos de ciberdelincuencia en torno a redes TDS basadas en HTTP, como el operado por VexTrio. Se prefiere HTTP para todos los metadatos que permite a los atacantes capturar de las víctimas: su navegador, ya sea en un dispositivo móvil o de escritorio, etc.

“La mayoría de las veces ignoramos los TDS”, continúa, “y si prestamos atención, lo pensamos en este marco estrecho. Pero lo que hemos descubierto en los últimos dos años y medio es que, en realidad, existe todo un concepto de sistemas de distribución de tráfico que en realidad sólo existen en DNS”.

De hecho, Savvy Seahorse no es nuevo (ha estado operando desde al menos agosto de 2021) ni es completamente único: otros grupos realizan una distribución de tráfico basada en DNS similar, pero hasta ahora ninguno se ha descrito en la literatura de seguridad. Entonces, ¿cómo funciona esta estrategia?

Cómo el caballito de mar inteligente abusa de CNAME

En este caso, todo se reduce a los registros CNAME.

En DNS, CNAME permite que varios dominios se asignen al mismo dominio base (canónico). Por ejemplo, el dominio base “darkreading.com” podría tener registros CNAME para www.darkreading.com, darkreading.xyz, y muchos más subdominios. Esta función básica puede ayudar a organizar un grupo de dominios que de otro modo sería grande, difícil de manejar y cambiante, propiedad de organizaciones legítimas y, evidentemente, de ciberatacantes por igual.

Como explica Burton, “Lo que ese registro CNAME hace específicamente para Savvy Seahorse es permitirles escalar y mover sus operaciones muy rápido. Entonces, cada vez que alguien cierra uno de sus sitios de phishing (lo que les sucede con bastante frecuencia a muchos de ellos), todo lo que tiene que hacer es mudarse a uno nuevo. Tienen espejos [del mismo contenido], esencialmente, por todas partes, y usan el CNAME como mapa para esos espejos”.

Lo mismo funciona para las IP: si alguien intenta cerrar la infraestructura de alojamiento de Savvy Seahorse, puede simplemente apuntar su CNAME a una dirección diferente en cualquier momento. Esto le permite no sólo ser resistente, sino también evasivo, anunciando cualquiera de sus subdominios durante sólo cinco a diez días en promedio (probablemente porque les resulta muy fácil intercambiarlos dentro y fuera).

CNAME también libera al actor de amenazas para que desarrolle un TDS más sólido desde el principio.

Cómo CNAME cambia el juego para atacantes y defensores

Los atacantes tienden a registrar todos sus dominios de forma masiva a través de un único registrador y utilizan un único proveedor de servicios de Internet (ISP) para administrarlos todos, simplemente para evitar tener que hacer demasiados malabarismos a la vez. La desventaja (para ellos) es que esto facilita que los ciberdefensores descubran todos sus dominios, a través de sus metadatos de registro comunes.

Consideremos ahora a Savvy Seahorse, que ha utilizado no menos de 30 registradores de dominios y 21 ISP para alojar 4,200 dominios. No importa cuántos registradores, ISP o dominios utilicen, al final, todos están asociados a través de CNAME con un único dominio base: b36cname[.]site.

Pero aquí también hay un problema. Un talón de Aquiles. CNAME es a la vez la estrella polar de Savvy Seahorse y su único punto de falla.

"Hay como 4,000 nombres de dominio incorrectos, pero sólo hay un CNAME incorrecto", señala Burton. Entonces, defenderse de un grupo como Savvy Seahorse puede implicar un camino increíblemente difícil o completamente fácil. "Todo lo que tienes que hacer es bloquear el dominio base [al que apunta el CNAME] y, desde una perspectiva de inteligencia de amenazas, podrás acabar con todo de un solo golpe".

No existe ninguna regla que diga que los atacantes no pueden construir redes maliciosas utilizando muchos CNAME, explica Burton, pero “en su mayoría lo hacen de forma agregada. Incluso en los sistemas más grandes, los vemos agregados a un conjunto mucho más pequeño de CNAME”.

"¿Por qué?" ella pregunta: "Tal vez porque no los atrapan".

Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
Fuente: https://www.darkreading.com/vulnerabilities-threats/savvy-seahorse-hackers-debut-novel-dns-cname-trick

Inteligencia de datos generativa

Los piratas informáticos 'Savvy Seahorse' presentan un novedoso truco DNS CNAME

Ataques TDS potenciados a través de DNS

Cómo el caballito de mar inteligente abusa de CNAME

Cómo CNAME cambia el juego para atacantes y defensores

Conversión de hamburguesa de menta - Desarrollado por OZDIY - CleanTechnica

Tres tendencias de fusión a tener en cuenta en 2024: crecimiento en Asia, avance hacia Stellarators y avance continuo de nuevas tecnologías de fusión | Grupo de tecnologías limpias

Información más reciente

Ahora es el momento de compensaciones de carbono de alta calidad y soluciones climáticas escalables.

Guía completa para el abastecimiento de productos para el comercio minorista y el comercio electrónico

BC Transit llevará 66 autobuses eléctricos a más ubicaciones – CleanTechnica

Saakuru y Blockpass se asocian para el cumplimiento de las mejores oportunidades económicas que ofrece Web3

El clima ahora es un problema de vivienda: una investigación revela que un enorme 90% quiere información sobre inundaciones al comprar

El sistema de inteligencia artificial AlphaFold 3 de Google aborda el misterio de las moléculas