Peneliti cybersecurity telah mengangkat tutupnya pada dua aktor ancaman yang mengatur penipuan investasi melalui dukungan selebriti yang spoof dan menyembunyikan aktivitas mereka melalui sistem distribusi lalu lintas (TDSES).
Cluster aktivitas telah diberi nama kode kelinci sembrono dan kelinci yang kejam oleh perusahaan intelijen ancaman DNS InfoLox.
Serangan telah diamati untuk memikat para korban dengan platform palsu, termasuk pertukaran cryptocurrency, yang kemudian diiklankan di platform media sosial. Aspek penting dari penipuan ini adalah penggunaan formulir web untuk mengumpulkan data pengguna.
“Rabit Reckless membuat iklan di Facebook yang mengarah pada artikel berita palsu yang menampilkan dukungan selebriti untuk platform investasi,” kata peneliti keamanan Darby Wise, Piotr Glaska, dan Laura Da Rocha. “Artikel ini mencakup tautan ke platform penipuan yang berisi formulir web tertanam yang membujuk pengguna untuk memasukkan informasi pribadi mereka untuk 'mendaftar' untuk peluang investasi.”
Beberapa formulir ini, selain meminta nama pengguna, nomor telepon, dan alamat email, menawarkan kemampuan untuk secara otomatis menghasilkan kata sandi, informasi kunci yang digunakan untuk maju ke fase berikutnya dari serangan-pemeriksaan validasi.
Aktor ancaman melakukan permintaan http mendapatkan untuk alat validasi IP yang sah, seperti IPInfo[.]IO, ipgeolocation[.]IO, atau IPAPI[.]CO, untuk menyaring lalu lintas dari negara -negara yang tidak mereka minati. Cek juga dilakukan untuk memastikan bahwa nomor dan alamat email yang disediakan otentik.
Jika pengguna dianggap layak untuk dieksploitasi, mereka kemudian dialihkan melalui TDS yang membawa mereka langsung ke platform penipuan di mana mereka dibujuk untuk berpisah dengan dana mereka dengan menjanjikan pengembalian tinggi, atau ke halaman berbeda yang menginstruksikan mereka untuk menunggu panggilan dari perwakilan mereka.
“Beberapa kampanye menggunakan pusat panggilan untuk memberi para korban instruksi tentang cara membuat akun dan mentransfer uang ke platform investasi palsu,” jelas para peneliti. “Untuk pengguna yang tidak lulus langkah validasi, banyak kampanye hanya akan menampilkan halaman arahan 'terima kasih'.”
Aspek penting dari kegiatan ini adalah penggunaan algoritma generasi domain terdaftar (RDGA) untuk mengatur nama domain untuk platform investasi yang samar, teknik yang juga diadopsi oleh aktor ancaman lainnya seperti Prolific Puma, Revolver Rabbit, dan Vextrio Viper.
Tidak seperti algoritma generasi domain tradisional (DGA), RDGA memanfaatkan algoritma rahasia untuk mendaftarkan semua nama domain. Rabbit yang ceroboh dikatakan telah menciptakan domain sejauh April 2024, terutama menargetkan pengguna di Rusia, Rumania, dan Polandia, sementara tidak termasuk lalu lintas dari Afghanistan, Somalia, Liberia, Madagaskar, dan lainnya.
Iklan Facebook yang digunakan untuk mengarahkan pengguna ke artikel berita palsu diselingi dengan konten iklan yang terkait dengan barang yang terdaftar untuk dijual di pasar seperti Amazon dalam upaya untuk menghindari tindakan deteksi dan penegakan hukum.
Terlebih lagi, iklan berisi gambar yang tidak terkait dan menampilkan domain umpan (misalnya, “Amazon[.]PL “) Itu berbeda dari domain yang sebenarnya, pengguna akan diarahkan ke sekali mereka mengklik tautan (misalnya,” Tyxarai[.]org “).
Ruthless Rabbit, di sisi lain, diyakini telah secara aktif menjalankan kampanye penipuan investasi sejak setidaknya November 2022 yang ditujukan untuk pengguna Eropa Timur. Yang membedakan aktor ancaman ini adalah bahwa mereka menjalankan layanan cloaking mereka sendiri (“mcraftdb[.]Tech “) untuk melakukan pemeriksaan validasi.
Pengguna yang melewati cek verifikasi kemudian dialihkan ke platform investasi di mana mereka didesak untuk memasukkan informasi keuangan mereka untuk menyelesaikan proses pendaftaran.
“TDS memungkinkan para aktor ancaman untuk memperkuat infrastruktur mereka, membuatnya lebih tangguh dengan memberikan kemampuan untuk menyembunyikan konten berbahaya dari peneliti dan bot keamanan,” kata Infeblox.
Ini bukan pertama kalinya kampanye penipuan investasi penipuan seperti itu ditemukan di alam liar. Pada bulan Desember 2024, ESET mengekspos skema serupa yang dijuluki Nomani yang menggunakan kombinasi malvertising media sosial, pos-pos bermerek perusahaan, dan intelijen buatan (AI) testimonial video bertenaga yang menampilkan kepribadian terkenal.
Kemudian bulan lalu, pihak berwenang Spanyol mengungkapkan bahwa mereka telah menangkap enam orang berusia antara 34 dan 57 karena diduga menjalankan penipuan investasi cryptocurrency berskala besar yang menggunakan alat AI untuk menghasilkan iklan Deepfake yang menampilkan tokoh-tokoh publik populer untuk menipu orang.
Renee Burton, wakil presiden Ancaman Intelijen di Infeblox, mengatakan kepada Hacker News bahwa mereka “harus melihat lebih dekat untuk melihat apakah ada bukti” untuk memastikan apakah ada hubungan antara kegiatan ini dan yang dilakukan oleh kelinci sembrono dan kelinci yang kejam.
“Aktor ancaman seperti kelinci yang ceroboh dan kejam akan tanpa henti dalam upaya mereka untuk menipu sebanyak mungkin pengguna,” kata para peneliti. “Karena jenis penipuan ini telah terbukti sangat menguntungkan bagi mereka, mereka akan terus tumbuh dengan cepat – baik dalam jumlah dan kecanggihan.”
Penipuan kotak misteri berkembang biak melalui iklan Facebook
Perkembangan ini terjadi karena Bitdefender memperingatkan lonjakan penipuan berlangganan canggih yang memanfaatkan jaringan lebih dari 200 situs web palsu yang meyakinkan untuk menipu pengguna agar membayar langganan bulanan dan berbagi data kartu kredit mereka.
“Penjahat membuat halaman Facebook dan mengambil iklan lengkap untuk mempromosikan penipuan 'misteri misteri' yang sudah klasik dan varian lainnya,” kata perusahaan Rumania itu. “Penipuan 'Mystery Box' telah berevolusi dan sekarang termasuk pembayaran berulang yang hampir tersembunyi, di samping tautan ke situs web ke berbagai toko. Facebook digunakan sebagai platform utama untuk penipuan kotak misteri baru yang ditingkatkan ini.”
Iklan yang disponsori Rogue mengiklankan penjualan izin dari merek -merek seperti Zara atau menawarkan kesempatan untuk membeli “kotak misteri” yang berisi produk Apple dan berusaha untuk menarik pengguna dengan mengklaim bahwa mereka dapat mengambil salah satunya dengan membayar sejumlah uang minimal, kadang -kadang serendah $ 2.
Penjahat dunia maya menyebarkan berbagai trik untuk menghindari upaya deteksi, termasuk membuat beberapa versi iklan, hanya salah satunya berbahaya, sementara yang lain menampilkan gambar produk acak.
Penipuan ini, seperti yang dilakukan oleh kelinci yang sembrono dan kelinci yang kejam, menggabungkan komponen survei untuk memastikan bahwa para korban adalah orang sungguhan dan bukan bot. Selain itu, halaman pembayaran mengikat pengguna yang tidak curiga ke dalam program berlangganan yang menghasilkan pendapatan berulang aktor ancaman dengan dalih memberi mereka diskon.
“Penjahat telah memompa dana dalam iklan yang mempromosikan pencipta konten yang ditiru, menggunakan model berlangganan yang sama yang tampaknya sekarang menjadi aliran pendapatan mengemudi dari penipuan ini,” kata peneliti Bitdefender Răzvan Gosa dan Silviu Stahie.
“Scammers sering mengubah merek yang ditiru, dan mereka telah mulai memperluas melewati kotak misteri yang ada. Mereka sekarang mencoba untuk menjual produk berkualitas rendah atau artikel imitasi, investasi palsu, suplemen, dan banyak lagi.”
Sanksi Perbendaharaan AS Junta-Linked Milisi di Myanmar atas senyawa penipuan
Temuan ini juga mengikuti gelombang sanksi yang dijatuhkan oleh Departemen Keuangan AS terhadap Tentara Nasional Karen (KNA) yang terkait dengan Myanmar karena membantu sindikat kejahatan terorganisir mengoperasikan senyawa penipuan multi-miliar dolar, serta memfasilitasi perdagangan manusia dan penyelundupan lintas batas.
Tindakan itu juga menargetkan pemimpin kelompok itu melihat Chit Thu, dan kedua putranya, melihat Htoo eh Moo dan melihat Chit Chit. Saw Chit Thu disetujui oleh Inggris pada tahun 2023 dan Uni Eropa pada tahun 2024 karena menjadi enabler utama operasi penipuan di wilayah tersebut.
“Operasi penipuan dunia maya, seperti yang dijalankan oleh KNA, menghasilkan miliaran dalam pendapatan untuk gembong kriminal dan rekan mereka, sambil merampas korban tabungan dan rasa aman yang diperoleh dengan susah payah,” kata Wakil Sekretaris Michael Faulkender.
Dalam apa yang disebut romansa penipuan umpan, penipu-yang sendiri diperdagangkan ke situs penipuan dengan memikat mereka dengan pekerjaan bergaji tinggi-dipaksa untuk menargetkan orang asing secara online, membangun hubungan dengan mereka dari waktu ke waktu, dan kemudian mendorong mereka untuk berinvestasi dalam cryptocurrency bogus dan platform perdagangan yang dikendalikan oleh aktor kriminal.
“Keuntungan KNA dari skema scam cyber pada skala industri dengan menyewakan tanah yang dikendalikannya ke kelompok kejahatan terorganisir lainnya, dan memberikan dukungan untuk perdagangan manusia, penyelundupan, dan penjualan utilitas yang digunakan untuk menyediakan energi untuk operasi penipuan,” kata Departemen Keuangan. “KNA juga menyediakan keamanan di senyawa penipuan di Negara Bagian Karen.”
Kantor PBB tentang Narkoba dan Kejahatan (UNODC) bulan lalu membocorkan pusat penipuan masih berkembang meskipun ada tindakan keras baru -baru ini, menghasilkan keuntungan tahunan hingga sekitar $ 40 miliar.
