Los investigadores de seguridad cibernética han noble la tapa de dos actores de amenazas que orquestan estafas de inversión a través de avales de celebridades falsificados y ocultan su actividad a través de los sistemas de distribución de tráfico (TDSE).
Los grupos de actividades han sido llamados en código CDYCless Rabbit y Rushless Rabbit por la firma de inteligencia de amenazas de DNS Informlox.
Se ha observado que los ataques atraen a las víctimas con plataformas falsas, incluidos los intercambios de criptomonedas, que luego se anuncian en las plataformas de redes sociales. Un aspecto importante de estas estafas es el uso de formularios web para resumir datos de favorecido.
“Rabbit imprudente crea anuncios en Facebook que conducen a artículos de telediario falsos con un respaldo de celebridades para la plataforma de inversión”, dijeron los investigadores de seguridad Darby Wise, Piotr Glaska y Laura da Rocha. “El artículo incluye un enlace a la plataforma de estafa que contiene un formulario web integrado que persuade al favorecido para que ingrese su información personal para que ‘se registre’ para la oportunidad de inversión”.
Algunos de estos formularios, adicionalmente de solicitar los nombres, números de teléfono y direcciones de correo electrónico de los usuarios, ofrecen la capacidad de ocasionar automáticamente una contraseña, una información secreto que se usa para progresar a la futuro etapa del ataque: las verificaciones de garra.
Los actores de amenaza que realizan HTTP obtienen solicitudes a herramientas legítimas de garra de IP, como IPINFO (.) IO, ipgeolocation (.) IO o IPAPI (.) CO, para filtrar el tráfico de los países que no están interesados. Incluso se realizan cheques para asegurar que los números y las direcciones de correo electrónico proporcionadas sean auténticas.
Si el favorecido se considera digno de explotación, después se enruta a través de un TDS que los lleva directamente a la plataforma de estafa donde se enfrentan a una separación con sus fondos prometiendo altos retornos, o a una página diferente que les indica que esperen una citación de su representante.
“Algunas campañas usan centros de llamadas para proporcionar a las víctimas instrucciones sobre cómo configurar una cuenta y transferir cuartos a la plataforma de inversión falsa”, explicaron los investigadores. “Para los usuarios que no pasan el paso de garra, muchas campañas simplemente mostrarán una página de destino de ‘agradecimiento'”.
Un aspecto importante de la actividad es el uso de un cálculo de vivientes de dominio registrado (RDGA) para establecer nombres de dominio para las plataformas de inversión incompletas, una técnica igualmente adoptada por otros actores de amenaza como PUMA prolífico, conejo revólver y VEXTRIO VIPER.
A diferencia de los algoritmos de vivientes de dominio tradicionales (DGA), las RDGA utilizan un cálculo secreto para registrar todos los nombres de dominio. Se dice que Rabbit imprudente ha estado creando dominios desde abril de 2024, principalmente dirigidos a usuarios en Rusia, Rumania y Polonia, al tiempo que excluyó el tráfico de Afganistán, Somalia, Liberia, Madagascar y otros.
Los anuncios de Facebook utilizados para dirigir a los usuarios a los artículos de telediario falsas están intercalados con contenido publicitario relacionado con artículos que figuran en liquidación en mercados como Amazon en un intento por evitar la detección y la entusiasmo de aplicación.
Por otra parte, los anuncios contienen imágenes no relacionadas y muestran un dominio señuelo (por ejemplo, “Amazon (.) PL”) que es diferente del dominio existente que el favorecido se redirigirá una vez que haga clic en el enlace (por ejemplo, “Tyxarai (.) Org”).
Se cree que Rushless Rabbit, por otro flanco, ha estado ejecutando activamente campañas de estafa de inversión desde al menos noviembre de 2022 que están dirigidas a usuarios de Europa del Este. Lo que distingue a este actor de amenaza es que ejecuta su propio servicio de encubrimiento (“MCRACTDB (.) Tech”) para realizar verificaciones de garra.
Los usuarios que superan los controles de comprobación se enrutan después a una plataforma de inversión donde se les insta a ingresar su información financiera para completar el proceso de registro.
“Un TDS permite a los actores de amenaza reforzar su infraestructura, haciéndola más resistente al proporcionar la capacidad de ocultar contenido receloso de investigadores y bots de seguridad”, dijo Infloxox.
Esta no es la primera vez que tales campañas de estafa de inversión fraudulenta se han descubierto en la naturaleza. En diciembre de 2024, ESET expuso un esquema similar denominado Nomani que utiliza una combinación de testimonios de videos de malvertición de redes sociales, con la marca de la compañía y los testimonios de video con inteligencia industrial (IA) con personalidades famosas.
Luego, el mes pasado, las autoridades españolas revelaron que han arrestado a seis personas de entre 34 y 57 primaveras por supuestamente dirigir una estafa de inversión de criptomonedas a gran escalera que utilizó herramientas de IA para ocasionar anuncios profundos con figuras públicas populares para engañar a las personas.
Renee Burton, vicepresidenta de inteligencia de amenazas en Infloxx, dijo a The Hacker News que “tendrían que echar un vistazo más de cerca para ver si hay alguna evidencia” para determinar si hay alguna conexión entre estas actividades y las realizadas por Rabbit y Ruthless Rabbit sin rutas.
“Los actores de amenaza como los conejos imprudentes y despiadados serán implacables en sus intentos de engañar a tantos usuarios como sea posible”, dijeron los investigadores. “Conveniente a que este tipo de estafas han demostrado ser enormemente rentables para ellos, continuarán creciendo rápidamente, tanto en número como sofisticación”.
Las estafas de caja misteriosa proliferan a través de anuncios de Facebook
El incremento se produce cuando Bitdefender advierte sobre un aumento en las sofisticadas estafas de suscripción que hacen uso de una red de más de 200 sitios web falsos convincentes para engañar a los usuarios para que paguen suscripciones mensuales y compartan los datos de sus tarjetas de crédito.
“Los delincuentes crean páginas de Facebook y obtienen anuncios completos para promover la estafa de ‘intriga’ ya clásica y otras variantes”, dijo la compañía rumana. “La estafa ‘Mystery Box’ ha evolucionado y ahora incluye pagos recurrentes casi ocultos, unido con enlaces a sitios web a varias tiendas. Facebook se utiliza como la plataforma principal para estas nuevas y mejoradas estafas de caja misteriosa”.
Los anuncios patrocinados por Rogue anuncian las ventas de autorización de marcas como Zara u ofrecen la oportunidad de comprar una “caja misteriosa” que contiene productos de Apple y exploración atraer a los usuarios al afirmar que pueden obtener uno de ellos pagando una suma mínima de cuartos, a veces tan bajo como $ 2.
Los cibercriminales implementan varios trucos para evitar los esfuerzos de detección, incluida la creación de múltiples versiones del anuncio, solo uno de los cuales es receloso, mientras que los otros muestran imágenes de productos aleatorios.
Estas estafas, como las perpetradas por el conejo imprudente y el conejo despiadado, incorporan un componente de investigación para asegurar que las víctimas sean personas reales y no bots. Por otra parte, las páginas de suscripción de los usuarios desprevenidos en un software de suscripción que obtiene los ingresos recurrentes de los actores de amenaza con el pretexto de darles un descuento.
“Los delincuentes han estado bombeando fondos en anuncios que promueven a los creadores de contenido imitados, utilizando el mismo maniquí de suscripción que parece ser ahora el flujo de ingresos impulsores de estas estafas”, dijeron los investigadores de bitdefender Răzvan Gosa y Silviu Stahie.
“Los estafadores a menudo cambian las marcas personificadas, y han comenzado a expandirse más allá de las cajas misteriosas existentes. Ahora están tratando de traicionar productos de disminución calidad o artículos de imitación, inversiones falsas, suplementos y mucho más”.
Sanciones del Hacienda de EE. UU. Milicia vinculada a la acoplamiento en Myanmar sobre compuestos de estafa
Los hallazgos igualmente siguen una ola de sanciones impuestas por el Área del Hacienda de los Estados Unidos contra el Ejército Franquista Karen combinado a Myanmar (KNA) para ayudar a los sindicatos de crímenes organizados que operan compuestos de estafas multimillonarios, así como para proveer el tráfico de personas y los contrabando de la humanidad.
Las acciones igualmente se dirigen al líder del clase vieron a Chit Thu, y sus dos hijos, vieron htoo eh moo y vieron chit chit. Saw Chit Thu fue sancionado por el Reino Unido en 2023 y la Unión Europea en 2024 por convertirse en un facilitador secreto de las operaciones de estafa en la región.
“Las operaciones de estafa cibernética, como las administradas por la KNA, generan miles de millones en ingresos para los perros criminales y sus asociados, mientras privan a las víctimas de sus ahorros y sentido de seguridad ganados con tanto esfuerzo”, dijo el subsecretario Michael Faulkender.
En estas llamadas estafas románticas, los estafadores, que son traficados a los sitios de estafa al atraerlos con trabajos de parada remedio, se ven obligados a dirigirse a extraños en confín, construir una relación con ellos con el tiempo, y luego inducirlos a volver en las plataformas de criptomonedas y comerciales controladas por los actores criminales.
“El KNA se beneficia de los esquemas de estafa cibernética a escalera industrial mediante el arrendamiento de tierras que controla a otros grupos de delitos organizados, y brindando apoyo para la manejo de personas, el contrabando y la liquidación de servicios públicos utilizados para proporcionar energía a las operaciones de estafa”, dijo el área del Hacienda. “El KNA igualmente proporciona seguridad en los compuestos de estafa en Karen State”.
La Oficina de las Naciones Unidas sobre Drogas y Crimen (UNODC) el mes pasado divulgó los centros de estafa todavía se están expandiendo a pesar de las recientes represiones, generando ganancias anuales por una suma de aproximadamente $ 40 mil millones.
