Last Updated on 2024-07-03 05:07 by admin

サイバー犯罪者が、投資詐欺に新しいDNSハイジャック技術を使用している。この技術を駆使するDNS脅威アクター「Savvy Seahorse」は、被害者を偽の投資プラットフォームに誘導し、個人口座への預金を促し、その後、預金をロシアの銀行に転送する手口を用いている。このキャンペーンの対象は、ロシア語、ポーランド語、イタリア語、ドイツ語、チェコ語、トルコ語、フランス語、スペイン語、英語を話すユーザーであり、Facebookなどのソーシャルメディアプラットフォーム上の広告を通じて、また偽のChatGPTやWhatsAppボットを利用して個人情報を提供するよう誘導している。

この詐欺キャンペーンは、DNSのCNAMEレコードを使用してトラフィック分配システム（TDS）を作成し、少なくとも2021年8月以降、検出を回避することが特徴である。CNAMEレコードは、ドメインまたはサブドメインをIPアドレスではなく別のドメイン（エイリアス）にマッピングするために使用される。Savvy Seahorseは、CNAMEレコード（およびIPアドレス）を共有する短命のサブドメインを複数登録することで、この技術を利用している。これらの特定のサブドメインは、ドメイン生成アルゴリズム（DGA）を使用して作成され、主要なキャンペーンドメインに関連付けられている。ドメインとIPアドレスの変更が頻繁に行われるため、インフラは取り下げ努力に対して抵抗力を持ち、脅威アクターはフィッシングサイトが中断された場合でも、新しいドメインを継続的に作成したり、CNAMEレコードを異なるIPアドレスに変更したりすることができる。

Facebook広告に埋め込まれたリンクをクリックした被害者は、名前、メールアドレス、電話番号を提供するよう促され、その後、資金をウォレットに追加するために偽の取引プラットフォームにリダイレクトされる。また、ウクライナ、インド、フィジー、トンガ、ザンビア、アフガニスタン、モルドバなど、特定の国のトラフィックを除外するためにユーザーの情報を検証するが、これらの特定の国を選択した理由は不明である。

Guardio Labsによると、正規のブランドや機関の数千のドメインが、スパムキャンペーンを広めるために「CNAME takeover」と呼ばれる技術を使用してハイジャックされていることが明らかになった。

【ニュース解説】

サイバー犯罪者が投資詐欺に利用している新しいDNSハイジャック技術についての報告があります。この技術を駆使する「Savvy Seahorse」と名付けられたDNS脅威アクターは、被害者を偽の投資プラットフォームに誘導し、そこで預金をさせた後、その資金をロシアの銀行に転送する手口を用いています。この攻撃は多言語を対象にしており、広範囲にわたるユーザーが標的にされています。

この詐欺キャンペーンの特徴は、DNSのCNAMEレコードを利用してトラフィック分配システム（TDS）を構築し、検出を回避している点にあります。CNAMEレコードは、一つのドメインを別のドメインにマッピングするために使用され、この技術を利用することで、脅威アクターは短命のサブドメインを複数登録し、フィッシングサイトの検出や取り下げに対する抵抗力を持たせています。

この手法の利点は、ドメインやIPアドレスが頻繁に変更されるため、セキュリティ対策を回避しやすくなることです。また、特定の国からのトラフィックを除外することで、攻撃の効率を高めているようですが、特定の国を選んだ理由は不明です。

このような攻撃は、個人情報の窃取や金銭的な損失に直結するため、非常に深刻な問題です。また、正規のブランドや機関のドメインがハイジャックされることで、ユーザーはより信頼してしまいやすく、詐欺に引っかかりやすくなります。

この問題に対処するためには、ユーザー自身がソーシャルメディア上の広告やメッセージに対して警戒心を持つこと、不審なリンクやプラットフォームにはアクセスしないことが重要です。また、セキュリティ企業や関連機関は、このような新しい攻撃手法に対する対策を強化し、情報共有を行うことで、被害の拡大を防ぐ必要があります。

長期的には、DNSセキュリティの強化や、偽のドメインを迅速に特定し取り下げるシステムの開発が求められます。また、国際的な協力による情報共有や対策の標準化も、この種のサイバー犯罪に効果的に対抗するためには不可欠です。

from Cybercriminals Using Novel DNS Hijacking Technique for Investment Scams.

admin

See Full Bio