5.700 millones de dólares: esa es la cantidad que los consumidores en Estados Unidos reportaron haber perdido en estafas de inversión en 2024. ¿La dolorosa ironía? Las víctimas no estaban siendo imprudentes: buscaban crear seguridad financiera y una red de protección para el futuro. En cambio, fueron manipuladas, estafadas y quedaron aún más vulnerables que antes.
Una nueva investigación de Infoblox Threat Intel arroja luz sobre dos actores detrás de estas estafas de inversión: Reckless Rabbit y Ruthless Rabbit.
Ambos utilizan algoritmos de generación de dominios registrados (RDGAs) para escalar sus campañas maliciosas y atraer a las víctimas utilizando nombres conocidos que inspiran confianza.
Enfoque sobre Reckless Rabbit y Ruthless Rabbit
Reckless Rabbit
Reckless Rabbit es un actor de amenazas que utiliza anuncios en Facebook para promover plataformas de inversión falsas. Recurre a supuestas recomendaciones de celebridades y crea miles de dominios para evadir la detección.
Anuncios maliciosos en Facebook: Utiliza anuncios falsos que presentan celebridades como avales de la supuesta inversión, lo que da credibilidad a la estafa.
Respuestas de DNS comodín: Configura sus dominios para que cualquier subdominio consultado devuelva una respuesta válida. Esto genera ruido en el DNS y complica la identificación de los subdominios reales usados para estafar.
Alcance global: Ataca a víctimas en múltiples países, adaptando el contenido a cada región para aumentar su efectividad.
Ruthless Rabbit
Este actor de amenazas opera su propio servicio de encubrimiento (cloaking) para validar usuarios antes de mostrar contenido malicioso. Su enfoque está en Europa del Este, donde suplanta sitios de noticias locales o marcas conocidas como WhatsApp o Meta.
Servicio de cloaking: Filtra el tráfico no deseado para evitar ser detectado, mostrando las páginas solo a víctimas potenciales.
Sitios de noticias falsificados: Clona sitios de noticias reales o marcas populares para atraer la atención de los usuarios y engañarlos.
URLs dinámicas: Modifica constantemente las rutas de sus sitios de estafa para dificultar su rastreo.
El Factor Clave: Caos y Confianza
El éxito de estas estafas de inversión se basa en dos elementos fundamentales: el caos y la confianza.
En tiempos caóticos, muchas personas buscan obtener ingresos rápidos. Los ciberdelincuentes explotan esta necesidad creando urgencia y temor a perder una supuesta oportunidad. A la vez, manipulan la confianza al utilizar fuentes conocidas —como celebridades o medios informativos populares— para hacer que sus fraudes parezcan legítimos.
Conclusión
El hecho de que estos actores dependan del abuso del DNS en sus campañas masivas y sofisticadas permite a los defensores utilizar este mismo vector como pilar fundamental de ciberseguridad. A través del análisis del DNS, los investigadores de Infoblox pueden detectar de forma automatizada y correlacionar estos dominios de estafa a gran escala.
Los usuarios deben extremar precauciones al invertir en cualquier proyecto o plataforma. Es crucial verificar los dominios a través de motores de búsqueda confiables para asegurarse de que no son falsificaciones. Además, cualquier contenido que mencione patrocinio de celebridades o figuras deportivas debe analizarse con escepticismo, ya que la IA puede haber generado esas afirmaciones.
¿Qué pueden hacer las organizaciones?
Aquellas que implementan servicios de DNS protector respaldados por inteligencia de amenazas sólidapueden proteger a sus usuarios bloqueando el acceso a sitios fraudulentos y plataformas falsas desde el principio.
Los “Rabbits” de Infoblox
El equipo de Infoblox Threat Intel denomina “rabbits” a los actores que usan RDGAs. A diferencia de los DGAstradicionales, en este caso todos los dominios generados se registran efectivamente y pueden ser utilizados en actividades como estafas, phishing, spam o malware.
Gracias a la visibilidad DNS, la inteligencia automatizada y el enfoque proactivo de Infoblox, es posible frenar estas campañas antes de que causen daño.