Infoblox découvre Savvy Seahorse : Facebook Ads utilisé pour attirer les victimes vers de faux investissements financiers

0
67

L’équipe Threat Intelligence Group d’Infoblox a découvert Savvy Seahorse, un nouvel acteur de la menace qui utilise le système de noms de domaines et Facebook Ads pour attirer les victimes vers de faux investissements financiers. Les fonds déposés sont ensuite transférés vers une banque d’État russe.

Tribune – L’escroquerie consiste à inciter les victimes à déposer des fonds sur des plateformes d’investissement frauduleuses, et en les appâtant avec des logos bien connus comme ceux de Tesla, Meta et Imperial Oil.

Infoblox découvre Savvy Seahorse, un groupement cybercriminel qui utilise les noms de domaines pour mener des arnaques financières massives

  • Savvy Seahorse est un acteur de la menace DNS, qui utilise Facebook ads pour attirer les utilisateurs vers des plateformes d’investissement frauduleuses.

  • Savvy Seahorse opère depuis août 2021 et a ciblé des utilisateurs dans différentes langues et régions, y-compris  la France. Il appâte les victimes avec des marques bien connues comme celles de Tesla, Facebook/Meta et Imperial Oil, entre autres.

  • Reportée pour la première fois, la Technique utilisée par Savvy Seahorse est unique à ce jour et repose sur des enregistrements DNS CNAME dévoyés pour mettre en oeuvre ses campagnes d’escroquerie, tout en échappant à la détection du secteur de la sécurité. Cette technique représente un nouveau défi pour les chercheurs de la menace et pour les équipes cybersécurité.

Infoblox Inc., leader des services de sécurité et de réseau dans le cloud, publie un nouveau rapport révélant les détails de Savvy Seahorse – un nouvel acteur de la menace DNS, qui incite les victimes à déposer des fonds sur des plateformes d’investissement frauduleuses, et en les appâtant avec des logos bien connus comme ceux de Tesla, Meta et Imperial Oil. Pour réussir leurs campagnes d’attaque, ils ont utilisé une variété de techniques avancées, telles que de faux chatbots, le tracking de Meta Pixel, et de multiples domaines de traitement des paiements.

Intitulé “Beware the Shallow Waters : Savvy Seahorse Lures Victims to Fake Investment Platforms Through Facebook Ads“, ce rapport Threat Intelligence dévoile comment Savvy Seahorse déploie une méthode innovante, abusant du système DNS pour diffuser le trafic de ses campagnes frauduleuses et échapper à la détection. Il offre une analyse exhaustive des opérations (remontant à août 2021), de l’infrastructure et des techniques employées par Savvy Seahorse, ainsi que des indicateurs d’activité pour aider les professionnels de la sécurité et les organisations à détecter et bloquer cet acteur de la menace.

Imaginez-vous en train de naviguer sur Facebook et tomber sur une publicité faisant la promotion d’une nouvelle plateforme d’investissement promettant des rendements alléchants. L’effet est le même que lorsque vous voyez une affiche qui annonce une nouvelle banque offrant un taux d’intérêt attractif. Vous cliquez sur l’annonce et êtes redirigé vers un site web qui semble professionnel et crédible, tout comme si vous franchissiez le seuil d’une agence bancaire moderne.

C’est là que Savvy Seahorse entre en jeu. Ils sont à l’origine de cette annonce et ont conçu ce site web. Mais contrairement à une banque légitime, leur objectif n’est pas de vous aider à faire fructifier votre argent. Leur objectif est de vous le dérober.

Comment opère Savvy Seahorse  ?

  • Création de sites d’investissement frauduleux : À l’image d’une banque fictive cherchant à inciter les victimes à y déposer leur argent, Savvy Seahorse attire les utilisateurs vers de fausses plateformes d’investissement. Ces plateformes peuvent paraître authentiques, mais elles ne sont qu’un miroir aux alouettes pour leur arnaque.

  • Vol des informations personnelles : Une fois que la victime est sur leur plateforme, ses informations personnelles et financières sont collectées. Ils imitent la procédure d’une banque légitime.

  • Changement de stratégie : Savvy Seahorse est un acteur rusé. Ils modifièrent leurs adresses IP (comme s’ils changeaient physiquement de lieu) et créent plusieurs sous-domaines (comme s’il ouvrait de multiples agences bancaires fictives) pour échapper à la détection.