Os hackers podem explorar os serviços Massive Domain Generator e URL Shortener criando um grande número de domínios enganosos ou maliciosos e usando encurtadores de URL para ocultar o verdadeiro destino dos links.
Isso pode ser usado para os seguintes fins ilícitos: –
- Ataques de phishing
- Espalhando malware
- Direcionar usuários desavisados para sites maliciosos
- Torna mais difícil rastrear a origem dos ataques
Recentemente, analistas de segurança cibernética da Infoblox descobriram um enorme gerador de domínio e serviço de encurtador de URL denominado “Prolific Puma Service”.
Gerador de domínio e encurtador de URL
Em 2023, o $8 a economia do crime cibernético de um trilhão de dólares ocupa o terceiro lugar no mundo. A Puma auxilia esta rede, criando nomes de domínio enganosos (RDGA) para: –
- Encurtamento de links
- Ajudando o phishing
- Golpes
- Propagação de malware
Interromper o Prolific Puma Service significa atingir duramente a economia criminosa, pois eles criam vários domínios enganosos e encurtam links para atores mal-intencionados, ocultando suas ações.
Esta descoberta destaca o poder do uso de dados DNS para detectar ameaças. O Prolific Puma foi rastreado via DNS, mostrando desafios para as autoridades de domínio no controle de abusos.
A distância do crime pode desviar as remoções, e os pesquisadores detectaram pela primeira vez os domínios Puma por meio da detecção RDGA há seis meses.
O Prolific Puma oferece encurtamento de link secreto para agentes de ameaças, e o acesso direto a um SLD ativo apresenta esta mensagem:-
- {“tipo”: “serviço”,”nome”:”@link-shortener/handler-service”}
Os encurtadores de links simplificam o compartilhamento de links da web e eliminam os limites de tamanho das mídias sociais. Quando um usuário clica, uma solicitação de DNS resolve o IP do serviço de encurtamento, como tinyurl[.]com.
A solicitação da web contém um hash para redirecionar e consultas DNS adicionais encontram o IP do conteúdo. Usuários legítimos encurtam links, mas atores mal-intencionados podem usar camadas de redirecionamento complexas.
O uso malicioso de encurtadores de links, como TinyURL, BitLy e Google, é comum em phishing. As empresas devem evitar encurtadores populares em e-mails. Os serviços da Prolific Puma permaneceram discretos.
Investigar encurtadores de links é complicado, pois a página de destino final não pode ser determinada sem um URL completo. A detecção de domínios suspeitos sem presença pública levanta questões sobre seu uso.
Puma prolífico milhares registrados de domínios usTLD desde maio de 2023, violando as regras usTLD. O usTLD é conhecido por abusos e problemas de privacidade persistem, principalmente com NameSilo como registrador.
O registro privado no usTLD não é autorizado, mas existe, e para combater as ameaças ao DNS é necessária colaboração.
Os atores de ameaças mostram características únicas em suas táticas, e o Prolific Puma, um ator de ameaças de DNS, usa registro privado, mas domínios usTLD públicos com uma referência por e-mail à música obscura ’33 de outubro’ da banda menos conhecida, os Black Pumas.
Eles também adotam o nome ‘Leila Puma’, que faz alusão à mesma banda e acrescenta um toque de mistério com um e-mail pessoal ucraniano.
Indicadores de Atividade
Domínio prolífico do encurtador de links Puma:
- higmi[.]com
- yyds[.]é
- 0cq[.]nós
- 4cu[.]nós
- registro[.]informações
- u5s[.]nós
- 1jb[.]nós
- jrbc[.]informações
- uhje[.]meu
- 0md[.]nós
- fh3[.]nós
- 0qa[.]nós
- 9jw[.]nós
- iv0[.]nós
- od9[.]nós
- rpzp[.]meu
- 8fx[.]nós
- 3vb[.]nós
- r1u[.]nós
- zóst[.]link
- 9agora[.]nós
- SF8i[.]nós
- bu9[.]nós
- ce2[.]nós
- wf6[.]nós
- v8z[.]nós
- zj4[.]nós
- rjvb[.]link
- fssu[.]link
- xbsf[.]link
- o que é[.]link
- ymql[.]link
- 7tz[.]nós
- w6q[.]nós
- giqj[.]meu
- u3q[.]nós
- ke0[.]nós
- v1u[.]nós
- ti7[.]nós
- 2zc[.]nós
- gf6[.]nós
- 6 dr.[.]nós
- 6ou[.]nós
- kc0[.]nós
- 0ty[.]nós
- styi.info
- 6fe[.]nós
- você8n[.]nós
- d6s[.]nós
IPs de hospedagem de encurtadores de link:
- 45[.]32[.]147[.]158
- 62[.]3[.]15[.]55
- 45[.]32[.]212[.]77
- 149[.]248[.]2[.]42
Redirecionamento e páginas de destino:
- preto[.]meu
- ksaguna[.]com
- asdboloa[.]com
- game.co[.]za