- Savvy Seahorse is een DNS-dreigingsactor die Facebook-advertenties gebruikt om gebruikers naar nep-investeringsplatforms te lokken, waar hun persoonlijke en financiële informatie wordt buitgemaakt.
- Savvy Seahorse is actief sinds augustus 2021 en heeft gebruikers in verschillende talen en regio's als doelwit. In hun campagnes maken ze misbruik van bekende merken zoals Tesla, Facebook/Meta en Imperial Oil.
- Savvy Seahorse gebruikt CNAME-records voor hun campagnes. Dankzij deze niet eerder gerapporteerde techniek vliegen ze onder de radar van veel securityspecialisten.
Amsterdam, 28 februari 2024 — Snel rijk worden met een investering in Tesla of Meta? Pas op dat je niet opgelicht wordt!
Infoblox deelt vandaag nieuwe inzichten over de dreigingsactor Savvy Seahorse. Deze actor maakt misbruik van het DNS-protocol om mensen te verleiden om te investeren op frauduleuze investeringsplatforms. Daarbij lijkt het alsof ze investeren in bijvoorbeeld Tesla, Meta of Imperial Oil. Savvy Seahorse maakt gebruik van uiteenlopende technieken om mensen naar hun platforms te lokken, waaronder nep-chatbots, Meta Pixel-tracking en meerdere betaalverwerkingsdomeinen.
Stel je voor: je ziet op Facebook een advertentie voor een nieuw investeringsplatform dat hoge rendementen belooft. Je klikt op de advertentie en je komt vervolgens terecht op een website die professioneel en betrouwbaar oogt – alsof je een bankfiliaal binnenloopt.
Welkom in de wereld van Savvy Seahorse. Zij zijn degene die de advertentie hebben geplaatst en de website hebben gemaakt. Maar in tegenstelling tot een legitieme bank, zijn ze er niet in geïnteresseerd om je vermogen te helpen groeien. Ze zijn er vooral op gericht je vermogen te stelen.
Hoe werkt Savvy Seahorse?
Net zoals een nep-bank je zou kunnen proberen te verleiden om geld te storten, lokt Savvy Seahorse gebruikers naar
nep-investeringsplatforms. Op het nep-platform vragen ze om je persoonlijke en financiële informatie, net zoals een nep-bank om je BSN en bankgegevens zou vragen. Deze informatie is op zichzelf al waardevol, maar vervolgens wordt het slachtoffer nog doorgeleid naar een handelsplatform, waar om een initiële investering wordt gevraagd.
Savvy Seahorse is bovendien erg gewiekst. Om niet gepakt te worden, veranderen ze constant hun IP-adressen (alsof een bankfiliaal van fysieke locatie verandert) en maken ze meerdere subdomeinen aan (meerdere ‘nep-filialen’). Daarnaast maakt Savvy Seahorse ook misbruik van CNAME-records – een onderdeel van het DNS-protocol. Door de CNAME-records te gebruiken, kunnen ze verkeer ongemerkt doorsluizen naar een malafide domein. Hiermee heeft Savvy Seahorse ook controle over wie toegang krijgt tot bepaalde content en kunnen ze dynamisch IP-adressen updaten, waardoor campagnes lastiger zijn te detecteren. Over deze CNAME-tactiek werd nog niet eerder gerapporteerd in cybercrime-analyses.
Lees voor meer informatie het onderzoeksrapport van Infoblox, “
Beware the Shallow Waters: Savvy Seahorse Lures Victims to Fake Investment Platforms Through Facebook Ads”. Het rapport biedt een uitgebreide analyse van de activiteiten van Savvy Seahorse (die teruggaan tot augustus 2021), infrastructuur en technieken. Ook bevat het rapport een lijst van indicatoren die beveiligingsprofessionals en organisaties helpen Savvy Seahorse te detecteren en blokkeren.
Over Infoblox
Infoblox combineert ongeëvenaarde netwerkprestaties en -security in een altijd veranderende wereld. Infoblox gebruikt intelligente DNS- en gebruikerscontext om dreigingen te stoppen die andere oplossingen over het hoofd zien. Daarvoor bieden we realtime inzicht en controle over wie en wat met je netwerk verbindt, zodat je veiligere en weerbaardere omgevingen kunt opzetten. We ondersteunen ruim 13.000 klanten – waaronder 92 van de Fortune 100-bedrijven én innovatieve nieuwkomers – om hun intelligente en diverse teams te versterken en te ondersteunen met intelligente networking- en security-oplossingen voor onze steeds decentralere wereld. Ga naar
infoblox.com voor meer informatie of volg ons op
LinkedIn en
X.