Reckless Rabbit y Ruthless Rabbit, dos agentes maliciosos especializados en estafas financieras
- Endpoint
Reckless Rabbit es un actor malicioso que utiliza anuncios en Facebook para promocionar plataformas de inversión fraudulentas. Por su parte, Ruthless Rabbit opera un servicio de cloacking dedicado a realizar comprobaciones de validación de los usuarios, filtrar y excluir tráfico y camuflar estafas.
Infoblox Threat Intel ha identificado una serie de nuevas amenazas que explotan de forma maliciosa el sistema DNS para perpetrar sus ataques. Bautizados como Reckless Rabbit y Ruthless Rabbit, los dos nuevos actores tienen en común la utilización de algoritmos de generación de dominios registrados (RDGA) para registrar de forma automática miles de dominios, y así escalar los ataques rápidamente y evitar que sean detectados.
Reckless Rabbit es un actor malicioso que utiliza anuncios en Facebook para promocionar plataformas de inversión fraudulentas. Entre las características del modus operandi de este actor malicioso se encuentran aprovechar de forma fraudulenta recomendaciones de inversión realizadas por personalidades famosas, que ellos utilizan de forma fraudulenta, para conducir a sus víctimas a sitios fraudulentos, que han creado utilizando técnicas RDGA; manipulación de los registros de wildcards que el sistema utiliza como respuesta a dominios inexistentes, lo que dificulta la identificación de los subdominios que este actor malicioso está realmente utilizando en sus campañas; y uso de una sofisticada estrategia de segmentación geográfica de campañas, de modo que en cada país utiliza contenidos específicos para ese mercado, para aumentar la efectividad de las campañas.
Por otro lado, el actor malicioso denominado Ruthless Rabbit opera un servicio de cloacking que se dedica a realizar comprobaciones de validación de los usuarios. El cloacking es una técnica utilizada evadir la detección por parte de las herramientas de ciberseguridad y llevar a cabo actividades maliciosas sin generar alarma, haciendo pasar por contenidos legítimos sitios fraudulentos en los que se aloja malware.
La operativa de este agente se caracteriza por operar un servicio de cloaking para realizar test de validación de usuarios, filtrar y excluir tráfico que no es del interés para el agente malicioso y camuflar estafas; suplantar news feeds y portales de noticias, generalmente de medios o marcas comerciales de reconocido prestigio, o incluso WhatsApp, para atraer a las víctimas a sitios fraudulentos donde se lleva a cabo la estafa; y uso de URLs Dinámicas para los sitios de destino fraudulentos, modificándolas constantemente para dificultar su rastreo.
Crecimiento exponencial de las estafas financieras
El éxito de este tipo de estafas financieras depende de dos elementos clave: la existencia de un contexto de incertidumbre y la confianza del inversor. En un contexto de incertidumbre y volatilidad en los mercados financieros, los ciberdelincuentes explotan la demanda existente de inversiones seguras y rentables para atraer víctimas que buscan de forma urgente oportunidades de inversión para su capital.
El segundo elemento es la capacidad de utilizar fraudulentamente el nombre de entidades que generan confianza en el inversor, cosa que se refuerza con el uso también fraudulento del testimonio de personalidades conocidas o portales de noticias de confianza.
