Infoblox hat Einzelheiten über Savvy Seahorse in einem neuen Threat Intel Report veröffentlicht. Savvy Seahorse ist ein DNS-Bedrohungsakteur, der seine Opfer dazu bringt, ihr Geld auf gefälschten Investmentplattformen anzulegen, indem sie sich als bekannte Firmen wie Tesla oder Meta tarnten. Um dies zu erreichen, nutzte die Gruppe Techniken, wie Fake-Chatbots, Meta Pixel Tracking oder missbräuchliche Nutzung der Domains von Zahlungsdienstleistern.
Der neue Threat Intel Report mit dem Titel „Beware of the Shallow Waters: Savvy Seahorse Lures Victims to Fake Investment Platforms Through Facebook Ads” beschreibt, wie Savvy Seahorse diese bisher unbekannte Vorgehensweise nutzte. Dafür griff der Bedrohungsakteur auf das Domain Name System zurück, um den Traffic für die Betrugskampagne zu erhöhen und unter dem Radar zu fliegen.
Der Report gibt detaillierten Aufschluss über die Infrastruktur, Vorgehensweisen und Tätigkeiten von Savvy Seahorse, die bis in den August 2021 zurückverfolgt werden können. Zudem enthält der Report eine Sammlung von Indikatoren, die auf die Aktivität von Savvy Seahorse hindeuten und Sicherheitsverantwortliche und Unternehmen dabei unterstützen, den Bedrohungsakteur zu identifizieren und zu blockieren.
Wer durch Facebook scrollt und auf eine Werbeanzeige für eine neue Investment-Plattform stößt, die hohe Renditen verspricht, kann schnell getäuscht werden. Ähnlich wie eine neue Bank, die ein hohes Zinsversprechen gibt, werden User auf die Plattformen gelockt. Dort deutet nichts auf einen Betrug hin. Im Gegenteil: Die Websites zeigen sich in einem vermeintlich professionellen und vertrauenswürdigen Design, das dem einer modernen Bank in nichts nachsteht.
Hier kommt Savvy Seahorse ins Spiel. Das sind diejenigen, die die Werbeanzeigen geschaltet haben und die Website betreiben. Im Gegensatz zu einer vertrauenswürdigen Bank sind sie jedoch nicht daran interessiert, das Vermögen der User zu steigern, sondern daran, es zu stehlen.
So geht die Gruppe vor:
- Gefälschte Investment-Plattformen: So wie eine Fake-Bank versucht, nichtsahnende Kunden davon zu überzeugen, ihr Geld dort anzulegen, lockt Savvy Seahorse die Nutzer auf gefälschte Investment-Plattformen. Diese erscheinen zwar auf den ersten Blick täuschend echt, sind jedoch nur eine Fassade für den Betrug.
- Persönliche Daten: Einmal auf ihrer Plattform, fragt Savvy Seahorse die User nach persönlichen Daten und Finanzinformationen. Vergleichbar ist dies mit einer Fake-Bank, die Sozialversicherungsnummern und Einzelheiten zu den Konten ihrer Kunden fordert.
- Veränderte Taktiken: Savvy Seahorse ist hinterlistig. Die Gruppe verändert ihre IP-Adressen (ähnlich als würde eine Bank ihren physischen Standort ändern) und erstellt zahlreiche Subdomains (so als würde eine Bank unterschiedliche Fillialen eröffnen), um nicht entdeckt zu werden.