Istraživači iz oblasti cyber bezbjednosti razotkrili su dvije grupe prijetnji koje organizuju investicijske prevare putem lažnih oglasa s poznatim ličnostima, a svoje aktivnosti prikrivaju korištenjem sistema za distribuciju saobraćaja (TDS).
Grupe su dobile kodna imena Reckless Rabbit i Ruthless Rabbit od strane firme za DNS obavještajnu analitiku Infoblox.
Napadi se odvijaju tako što se žrtve navode da posjete lažne platforme, uključujući i kripto berze, koje se reklamiraju na društvenim mrežama. Ključni element ovih prevara je korištenje web obrazaca za prikupljanje korisničkih podataka.
„Reckless Rabbit kreira oglase na Facebooku koji vode do lažnih novinskih članaka sa izjavama poznatih ličnosti koje podržavaju investicijsku platformu,“ rekli su istraživači Darby Wise, Piotr Glaska i Laura da Rocha. „Članak sadrži link ka prevarantskoj platformi koji uključuje obrazac kojim se korisnik navodi da unese lične podatke kako bi se ‘registrovao’ za investicijsku priliku.“
Neki od ovih obrazaca, osim što traže ime, broj telefona i email adresu korisnika, nude i mogućnost automatskog generisanja lozinke – ključne informacije koja se koristi za narednu fazu napada – validacione provjere.
Napadači vrše HTTP GET zahtjeve prema legitimnim alatima za validaciju IP adresa, poput ipinfo[.]io, ipgeolocation[.]io ili ipapi[.]co, kako bi isključili saobraćaj iz zemalja koje ih ne zanimaju. Takođe se provjerava da li su navedeni brojevi telefona i email adrese autentični.
Ako se korisnik procijeni kao pogodna meta, on se potom usmjerava preko TDS sistema ka platformi za prevaru, gdje se ubjeđuje da uloži novac uz obećanja velikih povrata, ili ka stranici koja ga obavještava da će ga kontaktirati „predstavnik“.
„Neke kampanje koriste call centre koji žrtvama daju instrukcije kako da otvore račun i prebace novac na lažnu investicijsku platformu,“ objasnili su istraživači. „Za korisnike koji ne prođu validaciju, kampanje često prikazuju samo stranicu sa porukom zahvalnosti.“
Jedan od ključnih elemenata ovih aktivnosti je upotreba algoritma za registrovanje domena (RDGA) kako bi se kreirale domene za sumnjive investicijske platforme – tehniku koju koriste i druge grupe poput Prolific Puma, Revolver Rabbit i VexTrio Viper.
Za razliku od tradicionalnih algoritama za generisanje domena (DGA), RDGA koristi tajni algoritam za registrovanje svih domena. Smatra se da Reckless Rabbit kreira domene još od aprila 2024, ciljajući korisnike u Rusiji, Rumuniji i Poljskoj, dok isključuje saobraćaj iz zemalja poput Afganistana, Somalije, Liberije i Madagaskara.
Facebook oglasi koji vode korisnike ka lažnim vijestima su izmiješani sa oglasnim sadržajem za proizvode na prodaju sa platformi poput Amazona, kako bi izbjegli otkrivanje i represivne mjere.
Štaviše, oglasi sadrže nepovezane slike i prikazuju lažnu domenu (npr. „amazon[.]pl“) koja se razlikuje od prave domene na koju će korisnik biti preusmjeren nakon klika (npr. „tyxarai[.]org“).
S druge strane, smatra se da Ruthless Rabbit vodi investicijske prevarantske kampanje najmanje od novembra 2022. godine, ciljajući korisnike iz istočne Evrope. Ono što ovu grupu izdvaja je to što koristi sopstvenu servisnu platformu za prikrivanje („mcraftdb[.]tech“) radi vršenja validacionih provjera.
Korisnici koji prođu provjere, preusmjeravaju se na investicijsku platformu gdje se od njih traži da unesu finansijske podatke kako bi dovršili registraciju.
„TDS omogućava napadačima da ojačaju svoju infrastrukturu, čineći je otpornijom tako što skrivaju zlonamjerni sadržaj od istraživača i botova,“ rekli su iz Infobloxa.
Ovo nije prvi put da su ovakve prevare otkrivene. U decembru 2024, ESET je razotkrio sličnu šemu pod nazivom Nomani, koja koristi kombinaciju reklama na društvenim mrežama, postova u stilu poznatih firmi i video svjedočenja generisanih uz pomoć vještačke inteligencije (AI) sa poznatim ličnostima.
Prošlog mjeseca, španske vlasti su objavile da su uhapsile šest osoba starosti između 34 i 57 godina zbog sumnje da su vodili veliku kripto investicijsku prevaru koristeći AI za kreiranje deepfake oglasa sa poznatim ličnostima.
Renee Burton, potpredsjednica za cyber obavještajne poslove u Infobloxu, izjavila je za The Hacker News da bi „morali detaljnije analizirati kako bi utvrdili da li postoji veza“ između pomenutih aktivnosti i aktivnosti grupa Reckless Rabbit i Ruthless Rabbit.
„Napadači poput Reckless i Ruthless Rabbit-a biće neumoljivi u svojim pokušajima da prevare što više korisnika,“ rekli su istraživači. „Pošto su ovakve prevare pokazale visok profit, nastaviće da se šire brzo – i brojčano i po sofisticiranosti.“
Mystery Box prevare se šire putem Facebook oglasa
Paralelno s ovim dešavanjima, kompanija Bitdefender upozorava na porast sofisticiranih prevara s pretplatom, koje koriste mrežu od preko 200 uvjerljivih lažnih web stranica kako bi prevarile korisnike da uplate mjesečne pretplate i podijele podatke sa svojih kreditnih kartica.
„Kriminalci kreiraju Facebook stranice i objavljuju plaćene oglase za promociju klasičnih prevara poput ‘mystery box’ i sličnih varijanti,“ saopštila je rumunska kompanija. „’Mystery box’ prevara se sada razvila i uključuje gotovo skrivene mjesečne naplate, kao i linkove ka raznim lažnim prodavnicama. Facebook je glavna platforma za ove nove i unaprijeđene prevare.“
Lažni oglasi promovišu rasprodaje brendova poput Zare ili nude mogućnost kupovine „mystery box-a“ sa Apple proizvodima, navodeći korisnike da za malu svotu, ponekad samo $2, mogu osvojiti vrijedan proizvod.
Cyber kriminalci koriste razne trikove za izbjegavanje detekcije, uključujući kreiranje više verzija oglasa – od kojih je samo jedna maliciozne – dok ostale prikazuju nasumične slike proizvoda.
Kao i prevare koje sprovode Reckless Rabbit i Ruthless Rabbit, i ove uključuju anketu kako bi se osiguralo da je riječ o stvarnim ljudima, a ne botovima. Takođe, stranice za plaćanje često korisnike nesvjesno uključuju u program pretplate koji napadačima omogućava redovni prihod pod izgovorom da nude popust.
„Kriminalci ulažu novac u oglase koji promovišu lažne sadržaje i kreatore, koristeći isti model pretplate koji im trenutno predstavlja glavni izvor prihoda,“ rekli su istraživači Bitdefendera Răzvan Gosa i Silviu Stahie.
„Prevaranti često mijenjaju brendove koje imitiraju, a sada su počeli širiti djelovanje izvan mystery box prevara. Pokušavaju prodavati proizvode niskog kvaliteta, imitacije, lažne investicije, dodatke ishrani i još mnogo toga.“
Američko ministarstvo finansija uvodi sankcije miliciji povezanoj s huntom u Mjanmaru zbog prevarantskih kampova
Otkrivena saznanja dolaze nakon što je Ministarstvo finansija SAD uvelo sankcije Karen nacionalnoj armiji (KNA) iz Mjanmara, zbog pomoći kriminalnim sindikatima u upravljanju višemilionskim prevarantskim kampovima, kao i zbog učestvovanja u trgovini ljudima i švercu.
Sankcije su uvedene i protiv vođe ove grupe, Saw Chit Thu-a, i njegovih sinova, Saw Htoo Eh Moo i Saw Chit Chit. Saw Chit Thu je već bio pod sankcijama Ujedinjenog Kraljevstva 2023. i Evropske unije 2024. godine zbog svoje ključne uloge u regionalnim prevarantskim operacijama.
„Cyber prevare, poput onih koje vodi KNA, generišu milijarde dolara prihoda za kriminalne vođe i njihove saradnike, dok žrtvama oduzimaju teško stečenu ušteđevinu i osjećaj sigurnosti,“ rekao je zamjenik sekretara Michael Faulkender.
U ovim tzv. „romantičarskim prevarama“, prevaranti – koji su često i sami prevareni i prebačeni na te lokacije lažnim oglasima za dobro plaćene poslove – prisiljeni su da ciljaju strance na mreži, gradeći odnos povjerenja kako bi ih naveli da investiraju u lažne kripto i trgovačke platforme koje kontrolišu kriminalne grupe.
„KNA ostvaruje profit od ovih prevara u industrijskim razmjerama tako što iznajmljuje zemljište koje kontroliše drugim kriminalnim grupama i pruža podršku za trgovinu ljudima, šverc i distribuciju energenata koji se koriste u prevarantskim kampovima,“ navelo je Ministarstvo finansija. „KNA takođe pruža sigurnosne usluge u kampovima u državi Karen.“
Izvor:The Hacker News