Исследователи кибербезопасности из Инфоблок раскрыли крупную операцию по сокращению ссылок, которая помогала киберпреступникам уклоняться от обнаружения и доставлять фишинговые и вредоносные сайты к своим целям.
Они назвали операцию «Плодотворная пума» и считают, что вполне вероятно, что в ее работе и расширении принимали участие несколько субъектов угроз.
Согласно отчету, Prolific Puma использует алгоритм генерации зарегистрированных доменов (RDGA) для массового создания доменных имен. Затем они будут использовать эти домены для предоставления услуг по сокращению ссылок другим злоумышленникам.
Лет в эксплуатации
Эти злоумышленники затем создадут свои собственные фишинговые и вредоносное ПО страницы и используйте эту службу, чтобы сканеры не обнаруживали их как таковые.
«Когда мы разрушаем Prolific Puma, мы разрушаем более широкий сегмент криминальной экономики», — говорят исследователи в отчете. «Prolific Puma алгоритмически генерирует большие объемы доменов, а затем использует эти домены для создания сокращенных ссылок для других злоумышленников, позволяя им скрывать свою истинную активность».
Операция действовала как минимум четыре года, пояснил Infoblox, предположив, что она могла быть еще дольше. В конце концов, операция не была сорвана после того, как исследователи обнаружили вредоносную целевую страницу – потому что они этого не сделали.
Вместо этого он был найден через DNS аналитика. Шесть месяцев назад исследователи, анализирующие 70 миллиардов DNS-запросов в день, обнаружили RDGA, создающую доменные имена для вредоносных сервисов сокращения URL-адресов.
Исследователи обнаружили, что менее чем за месяц Prolific Puma удалось зарегистрировать тысячи доменов, многие из которых относятся к домену верхнего уровня США (usTLD). С апреля прошлого года было зарегистрировано около 75 000 уникальных доменных имен. В начале 2023 года Prolific Puma зарегистрировала почти 800 доменов за один день.
Большинство доменов содержат максимум четыре символа, хотя были случаи, когда домены содержали до семи символов.
Как жертвы попадают на эти страницы, остается только догадываться, хотя исследователи предполагают, что это обычные векторы: реклама в социальных сетях, текстовые сообщения и тому подобное.
Больше от TechRadar Pro
2023-11-01 19:00:22
1698867369
#Тысячи #сокращенных #доменов #зарегистрированы #для #проведения #кибератак #не #только
