Neue Bedrohungen durch Investitionsbetrug: Facebook-Anzeigen und RDGA-Domains im Fokus

MÜNCHEN (IT BOLTWISE) – In der digitalen Welt von heute sind Investitionsbetrügereien keine Seltenheit mehr. Zwei neue Bedrohungsakteure, bekannt als Reckless Rabbit und Ruthless Rabbit, nutzen Facebook-Anzeigen und registrierte Domain-Generierungsalgorithmen (RDGA), um ahnungslose Investoren zu täuschen.

In der sich ständig weiterentwickelnden Landschaft der Cyberkriminalität haben Sicherheitsforscher kürzlich zwei neue Akteure identifiziert, die Investitionsbetrügereien orchestrieren. Diese Akteure, bekannt als Reckless Rabbit und Ruthless Rabbit, nutzen gefälschte Prominentenempfehlungen und verschleiern ihre Aktivitäten durch Traffic-Distribution-Systeme (TDS). Diese Betrügereien locken Opfer mit gefälschten Plattformen, darunter auch Kryptowährungsbörsen, die auf sozialen Medien beworben werden.

Ein entscheidender Aspekt dieser Betrügereien ist die Verwendung von Webformularen zur Sammlung von Benutzerdaten. Reckless Rabbit erstellt Anzeigen auf Facebook, die zu gefälschten Nachrichtenartikeln führen, in denen eine Prominentenempfehlung für die Investitionsplattform enthalten ist. Diese Artikel enthalten Links zu den Betrugsplattformen, die eingebettete Webformulare enthalten, die die Benutzer dazu verleiten, ihre persönlichen Informationen einzugeben.

Die Bedrohungsakteure führen HTTP GET-Anfragen an legitime IP-Validierungstools durch, um den Datenverkehr aus Ländern herauszufiltern, die sie nicht interessieren. Wenn ein Benutzer als ausbeutungswürdig angesehen wird, wird er durch ein TDS geleitet, das ihn entweder direkt zur Betrugsplattform führt oder auf eine andere Seite, die ihn auffordert, auf einen Anruf von einem Vertreter zu warten.

Ein bemerkenswerter Aspekt dieser Aktivitäten ist die Verwendung eines registrierten Domain-Generierungsalgorithmus (RDGA) zur Einrichtung von Domainnamen für die fragwürdigen Investitionsplattformen. Diese Technik wird auch von anderen Bedrohungsakteuren wie Prolific Puma und VexTrio Viper verwendet. Reckless Rabbit erstellt seit April 2024 Domains und zielt hauptsächlich auf Benutzer in Russland, Rumänien und Polen ab.

Ruthless Rabbit hingegen betreibt seit mindestens November 2022 aktiv Investitionsbetrugskampagnen, die auf osteuropäische Benutzer abzielen. Was diesen Bedrohungsakteur auszeichnet, ist, dass er seinen eigenen Cloaking-Service betreibt, um Validierungsprüfungen durchzuführen. Benutzer, die die Überprüfung bestehen, werden zu einer Investitionsplattform weitergeleitet, wo sie aufgefordert werden, ihre Finanzinformationen einzugeben.

Diese Entwicklungen kommen zu einer Zeit, in der Bitdefender vor einem Anstieg von Abonnementbetrügereien warnt, die ein Netzwerk von über 200 überzeugenden gefälschten Websites nutzen, um Benutzer zu täuschen. Diese Betrügereien, ähnlich wie die von Reckless Rabbit und Ruthless Rabbit, beinhalten eine Umfragekomponente, um sicherzustellen, dass die Opfer echte Menschen sind und keine Bots.

Die US-Regierung hat kürzlich Sanktionen gegen die Myanmar-verbundene Karen National Army (KNA) verhängt, die organisierte Verbrechersyndikate dabei unterstützt, milliardenschwere Betrugskomplexe zu betreiben. Diese Maßnahmen zielen darauf ab, die Einnahmen aus Cyberbetrug zu unterbinden, die kriminellen Drahtziehern und ihren Komplizen Milliarden einbringen.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!