Ένας ηθοποιός που οι ερευνητές ασφαλείας αποκαλούν Prolific Puma παρέχει υπηρεσίες συντόμευσης συνδέσμων σε εγκληματίες του κυβερνοχώρου για τουλάχιστον τέσσερα χρόνια, διατηρώντας παράλληλα ένα αρκετά χαμηλό προφίλ ώστε να λειτουργεί απαρατήρητο.
Σε λιγότερο από ένα μήνα, η Prolific Puma έχει καταχωρίσει χιλιάδες τομείς, πολλοί στον τομέα ανώτατου επιπέδου των ΗΠΑ (usTLD), για να βοηθήσει με την παράδοση phishing, απάτες και κακόβουλο
λογισμικό
.
Υπηρεσία σύντομης διεύθυνσης URL για εγκληματίες του κυβερνοχώρου
Ερευνητές από το Infoblox, έναν προμηθευτή ασφαλείας που εστιάζει στο DNS που εξετάζει 70 δισεκατομμύρια ερωτήματα DNS καθημερινά, παρατήρησαν για πρώτη φορά τη δραστηριότητα Prolific Puma πριν από έξι μήνες, αφού εντόπισαν έναν αλγόριθμο δημιουργίας καταχωρημένου τομέα (
RDGA
) για να δημιουργήσετε τα ονόματα τομέα για την κακόβουλη υπηρεσία συντόμευσης διευθύνσεων URL.
Χρησιμοποιώντας εξειδικευμένους ανιχνευτές DNS, μπόρεσαν να παρακολουθήσουν το κακόβουλο δίκτυο καθώς εξελίχτηκε και έκαναν κατάχρηση του usTLD για να διευκολύνουν το έγκλημα στο Διαδίκτυο.
Λόγω της φύσης των υπηρεσιών συντόμευσης συνδέσμων, το Infoblox μπορούσε να παρακολουθεί τους σύντομους συνδέσμους αλλά όχι την τελική σελίδα προορισμού, παρά τον εντοπισμό
μεγάλο
υ αριθμού διασυνδεδεμένων τομέων που παρουσιάζουν ύποπτη συμπεριφορά.
«Τελικά καταγράψαμε αρκετές περιπτώσεις συντομευμένων συνδέσμων που ανακατευθύνονταν σε τελικές σελίδες προορισμού που ήταν ιστότοποι ηλεκτρονικού ψαρέματος και απάτης» –
Infoblox
Μερικοί από τους σύντομους συνδέσμους από το Prolific Puma οδήγησαν απευθείας στον τελικό προορισμό, αλλά άλλοι υποδεικνύουν πολλαπλές ανακατευθύνσεις, ακόμη και άλλους συντομευμένους συνδέσμους, πριν φτάσουν στη σελίδα προορισμού.
Το Infoblox λέει ότι υπήρξαν επίσης περιπτώσεις όπου η πρόσβαση στον σύντομο σύνδεσμο οδήγησε τον χρήστη σε μια πρόκληση CAPTCHA, που πιθανότατα προστατεύει από αυτοματοποιημένες σαρώσεις.
Λόγω αυτής της ασυνέπειας ως προς το τι φόρτωσαν στη συνέχεια οι σύντομοι σύνδεσμοι του Prolific Puma, οι ερευνητές πιστεύουν ότι πολλοί ηθοποιοί χρησιμοποιούν την υπηρεσία.
Η μέθοδος παράδοσης για αυτούς τους συνδέσμους ποικίλλει επίσης και περιλαμβάνει μέσα κοινωνικής δικτύωσης και διαφημίσεις, αλλά τα στοιχεία δείχνουν ότι τα μηνύματα κειμένου είναι το κύριο κανάλι.
Μαζική λειτουργία
Το μέγεθος της λειτουργίας Prolific Puma όπως αποκαλύφθηκε από το Infoblox είναι εντυπωσιακό. Ο ηθοποιός κατέγραψε έως και 75.000 μοναδικά ονόματα τομέα από τον Απρίλιο του 2022.
Εξετάζοντας τους μοναδικούς τομείς στο δίκτυο του ηθοποιού, οι ερευνητές είδαν στην αρχή του έτους μια κορύφωση σχεδόν 800 τομέων με έως και τέσσερις χαρακτήρες που δημιουργήθηκαν σε μια μέρα.
Οι παραγωγικοί τομείς Puma κατανέμονται σε 13 TLD. Από τον Μάιο του τρέχοντος έτους, ωστόσο, ο ηθοποιός χρησιμοποίησε το usTLD για περισσότερους από τους μισούς από τους συνολικούς τομείς που δημιουργήθηκαν, με τον ημερήσιο μέσο όρο να είναι 43.
Από τα μέσα Οκτωβρίου, οι ερευνητές παρατήρησαν κλειστούς σε 2.000 τομείς στο usTLD, υποδεικνύοντας τη δραστηριότητα Prolific Puma που βρίσκονται πίσω από την προστασία ιδιωτικής εγγραφής.
|
Ληξίαρχος |
Πλήθος τομέα (1 Σεπτεμβρίου – 15 Οκτωβρίου 2023) |
|---|---|
| NameSilo – Prolific Puma | 1062 |
| NameSilo – πιθανώς όχι Prolific Puma | 411 |
| PorkBun | 5 |
| ΌνομαΦτηνό | 4 |
| Sav.com | 1 |
|
Ιδιωτικά καταχωρημένοι τομείς στο usTLD |
|
Αξίζει να σημειωθεί ότι οι ιδιωτικές εγγραφές δεν επιτρέπονται στον χώρο ονομάτων .US σύμφωνα με την τρέχουσα πολιτική και ο καταχωρίζων υποχρεούται να παρέχει ακριβείς και αληθείς πληροφορίες.
Επιπλέον, οι καταχωρητές έχουν την υποχρέωση να μην προσφέρουν εγγραφές ιδιωτικού τομέα σε καταχωρητές ονομάτων τομέα .US.
Συνήθως, οι τομείς Prolific Puma είναι αλφαριθμητικοί, ψευδοτυχαίοι και ποικίλλουν σε μέγεθος, ενώ οι τομείς τριών ή τεσσάρων χαρακτήρων είναι οι πιο συνηθισμένοι. Ωστόσο, οι ερευνητές παρατήρησαν τομείς με μήκος έως και επτά χαρακτήρες.
|
TLD |
μας | Σύνδεσμος | πληροφορίες | com | cc | μου |
|---|---|---|---|---|---|---|
|
Τομείς |
vf8[.]μας 2 ug[.]μας z3w[.]μας yw9[.]μας 8τμ[.]μας |
cewm[.]Σύνδεσμος wrzt[.]Σύνδεσμος hhqm[.]Σύνδεσμος ezqz[.]Σύνδεσμος zyke[.]Σύνδεσμος |
uelr[.]πληροφορίες ldka[.]πληροφορίες fbvn[.]πληροφορίες baew[.]πληροφορίες shpw[.]πληροφορίες |
kfwpr[.]com trqrh[.]com nhcux[.]com khrig[.]com dvcgg[.]com |
jlza[.]cc hpko[.]cc δδκν[.]cc mpsi[.]cc wkby[.]cc |
scob[.]μου xnxk[.]μου ζορού[.]μου mjzo[.]μου ουζπ[.]μου |
|
Παραδείγματα τομέων μήκους 3 έως 4 χαρακτήρων που έχουν καταχωρηθεί από την Prolific Puma σε διαφορετικά TLD |
||||||
Τα τελευταία τρία χρόνια, ο ηθοποιός χρησιμοποίησε φιλοξενία κυρίως από το NameSilo, ένα φτηνό καταχωρητή διαδικτυακού τομέα που συχνά γίνεται κατάχρηση από εγκληματίες του κυβερνοχώρου, που προσφέρει ένα API για μαζική εγγραφή.
Για να αποφύγει τον έλεγχο και τον εντοπισμό, το Prolific Puma γερνά τους τομείς του αφήνοντάς τους ανενεργούς ή σταθμευμένους για αρκετές εβδομάδες. Κατά τη διάρκεια αυτής της περιόδου, ο ηθοποιός κάνει μερικές ερωτήσεις DNS για να κερδίσει τη φήμη.
Όταν είναι έτοιμος για χρήση, ο ηθοποιός μεταφέρει τους τομείς σε έναν αλεξίσφαιρο πάροχο φιλοξενίας, πληρώνοντας σε
κρυπτο
νόμισμα
Bitcoin
για έναν εικονικό ιδιωτικό διακομιστή με υπηρεσία με αποκλειστική διεύθυνση IP.
Το Infoblox διαπίστωσε ότι ορισμένοι από αυτούς τους τομείς εγκαταλείπονται μετά από μια περίοδο, αλλά η εγγραφή DNS εξακολουθεί να δείχνει την αποκλειστική IP.
Οι ερευνητές πιστεύουν ότι το Prolific Puma παρέχει μόνο την υπηρεσία σύντομων συνδέσμων και δεν ελέγχει τις σελίδες προορισμού, αλλά δεν αποκλείουν την πιθανότητα ο ίδιος ηθοποιός να εκτελέσει ολόκληρη τη λειτουργία.
Ακολουθεί ένα παράδειγμα του τρόπου με τον οποίο χρησιμοποιείται η υπηρεσία του Prolific Puma σε μια καμπάνια με μια σελίδα phishing που ζητά διαπιστευτήρια και πληρωμή, για να παραδοθεί τελικά μια κακόβουλη προσθήκη προγράμματος περιήγησης.
Σύμφωνα με το Infoblox, ο ηθοποιός δεν διαφημίζει την υπηρεσία λίπους του σε underground αγορές αλλά είναι η μεγαλύτερη και πιο δυναμική. Η χρήση δεκάδων χιλιάδων ονομάτων τομέα που έχουν καταχωρηθεί σε πολλούς καταχωρητές τους επιτρέπει να πετούν κάτω από το ραντάρ.
“Ενώ οι πάροχοι ασφάλειας μπορούν να αναγνωρίσουν και να αποκλείσουν το τελικό περιεχόμενο, χωρίς μια ευρύτερη προβολή είναι δύσκολο να δούμε το πλήρες εύρος της δραστηριότητας και να συσχετίσουμε τους τομείς μαζί κάτω από έναν ενιαίο παράγοντα απειλής DNS” –
Infoblox
Το Infoblox μπόρεσε να αποκαλύψει τη μαζική λειτουργία μέσω αλγορίθμων που επισημαίνουν ύποπτους ή κακόβουλους τομείς. Μέσω παθητικών αρχείων καταγραφής ερωτημάτων DNS, οι νέοι τομείς που ερωτήθηκαν, οι καταχωρημένοι ή οι διαμορφωμένοι τομείς αξιολογούνται και επισημαίνονται ως ύποπτοι ή κακόβουλοι, εάν πληρούν τα κριτήρια για τη συσχέτισή τους με έναν παράγοντα απειλής DNS.
Η αποκάλυψη του Prolific Puma ξεκίνησε με αυτοματοποιημένα αναλυτικά στοιχεία, τα οποία αποκάλυψαν μερικούς σχετικούς τομείς. Όταν η εταιρεία ανέπτυξε αλγόριθμους για την ανακάλυψη RDGA νωρίτερα φέτος, οι τομείς που χρησιμοποιήθηκαν εντοπίστηκαν σε ομάδες. Ένας άλλος αλγόριθμος συσχέτισε τα συμπλέγματα τομέα και τα απέδωσε σε έναν μεμονωμένο παράγοντα απειλής DNS.
ο
αναφορά από το Infoblox
παρέχει ένα σύνολο δεικτών για τη δραστηριότητα Prolific Puma που περιλαμβάνει συντομότερους συνδέσμους που φιλοξενούν διευθύνσεις IP και τομείς, σελίδες ανακατεύθυνσης και προορισμού και μια διεύθυνση
email
που βρίσκεται στα δεδομένα εγγραφής τομέα.
VIA:
bleepingcomputer.com
