Un acteur que les chercheurs en sécurité appellent Prolific Puma fournit des services de raccourcissement de liens aux cybercriminels depuis au moins quatre ans tout en gardant un profil suffisamment bas pour opérer sans être détecté.
En moins d’un mois, Prolific Puma a enregistré des milliers de domaines, dont beaucoup sur le domaine de premier niveau américain (usTLD), pour faciliter la diffusion d’hameçonnages, d’escroqueries et de logiciels malveillants.
Service d’URL courtes pour les cybercriminels
Des chercheurs d’Infoblox, un fournisseur de sécurité axé sur le DNS qui examine quotidiennement 70 milliards de requêtes DNS, ont observé pour la première fois l’activité de Prolific Puma il y a six mois, après avoir détecté un algorithme de génération de domaine enregistré (RDGA) pour créer les noms de domaine pour le service de raccourcissement d’URL malveillant.
À l’aide de détecteurs DNS spécialisés, ils ont pu suivre le réseau malveillant à mesure qu’il évoluait et ont abusé du usTLD pour faciliter la criminalité sur Internet.
En raison de la nature des services de raccourcissement de liens, Infoblox a pu suivre les liens courts mais pas la page de destination finale, malgré la détection d’un grand nombre de domaines interconnectés présentant un comportement suspect.
« Nous avons finalement capturé plusieurs cas de liens raccourcis redirigeant vers des pages de destination finales qui étaient des sites de phishing et d’escroquerie » – Infoblox
Certains des liens courts de Prolific Puma menaient directement à la destination finale, mais d’autres pointaient vers de multiples redirections, voire d’autres liens raccourcis, avant d’arriver à la page de destination.
Infoblox indique qu’il y a également eu des cas où l’accès au lien court a amené l’utilisateur à un défi CAPTCHA, susceptible de le protéger des analyses automatisées.
En raison de cette incohérence dans les liens courts chargés ensuite par Prolific Puma, les chercheurs pensent que plusieurs acteurs utilisent le service.
La méthode de livraison de ces liens varie également et inclut les médias sociaux et les publicités, mais les preuves indiquent que les messages texte constituent le canal principal.
Opération massive
La taille de l’opération Prolific Puma découverte par Infoblox est impressionnante. L’acteur a enregistré jusqu’à 75 000 noms de domaine uniques depuis avril 2022.
En examinant les domaines uniques du réseau de l’acteur, les chercheurs ont constaté au début de l’année un pic de près de 800 domaines contenant jusqu’à quatre personnages créés en une seule journée.
Les domaines prolifiques Puma sont répartis sur 13 TLD. Depuis mai de cette année, cependant, l’acteur a utilisé l’usTLD pour plus de la moitié du total des domaines créés, la moyenne quotidienne étant de 43.
Depuis la mi-octobre, les chercheurs ont remarqué la fermeture de 2 000 domaines dans l’usTLD, ce qui indique une activité Prolific Puma et qui sont derrière la protection des enregistrements privés.
Greffier | Nombre de domaines (du 1er septembre au 15 octobre 2023) |
---|---|
NameSilo – Puma prolifique | 1062 |
NameSilo – peut-être pas Prolific Puma | 411 |
Pain De Porc | 5 |
NomCheap | 4 |
Sav.com | 1 |
Domaines enregistrés de manière privée dans le usTLD |
Il convient de mentionner que les enregistrements privés ne sont pas autorisés dans l’espace de noms .US en vertu de la politique actuelle et que le titulaire est tenu de fournir des informations exactes et véridiques.
De plus, les bureaux d’enregistrement ont l’obligation de ne pas proposer d’enregistrements de domaine privé aux titulaires de noms de domaine .US.
En règle générale, les domaines Prolific Puma sont alphanumériques, pseudo-aléatoires et varient en taille, les domaines à trois ou quatre caractères étant les plus courants. Cependant, les chercheurs ont observé des domaines comportant jusqu’à sept caractères.
TLD | nous | lien | Info | com | cc | moi |
---|---|---|---|---|---|---|
Domaines | vf8[.]nous 2ug[.]nous z3w[.]nous yw9[.]nous 8tm[.]nous | cewm[.]lien wrzt[.]lien hhqm[.]lien ezqz[.]lien zyke[.]lien | uelr[.]Info ldka[.]Info fbvn[.]Info baew[.]Info shpw[.]Info | kfwpr[.]com trqrh[.]com nhcux[.]com khrig[.]com dvcgg[.]com | jlza[.]cc hpko[.]cc ddkn[.]cc mpsi[.]cc en semaine[.]cc | écorché[.]moi xnxk[.]moi zoru[.]moi mjzo[.]moi ouzp[.]moi |
Exemples de domaines de 3 à 4 caractères enregistrés par Prolific Puma sur différents TLD |
Au cours des trois dernières années, l’acteur a principalement utilisé l’hébergement de NameSilo, un registraire de domaines Internet bon marché, souvent abusé par les cybercriminels, qui propose une API pour l’enregistrement groupé.
Pour éviter tout contrôle et détection, Prolific Puma vieillit ses domaines en les laissant inactifs ou parqués pendant plusieurs semaines. Durant cette période, l’acteur effectue quelques requêtes DNS pour gagner en réputation.
Une fois prêt à être utilisé, l’acteur transfère les domaines à un fournisseur d’hébergement à toute épreuve, payant en crypto-monnaie Bitcoin pour un serveur privé virtuel avec un service avec une adresse IP dédiée.
Infoblox a constaté que certains de ces domaines sont abandonnés après un certain temps, mais l’enregistrement DNS pointe toujours vers l’adresse IP dédiée.
Les chercheurs estiment que Prolific Puma fournit uniquement le service de liens courts et ne contrôle pas les pages de destination, mais n’excluent pas la possibilité que le même acteur dirige l’ensemble de l’opération.
Vous trouverez ci-dessous un exemple de la façon dont le service de Prolific Puma est utilisé dans une campagne avec une page de phishing demandant des informations d’identification et un paiement, pour finalement fournir un plugin de navigateur malveillant.
Selon Infoblox, l’acteur ne fait pas la publicité de son service de shortening sur les marchés clandestins mais il s’agit du plus grand et du plus dynamique. L’utilisation de dizaines de milliers de noms de domaine enregistrés auprès de plusieurs bureaux d’enregistrement leur permet de passer inaperçus.
« Même si les fournisseurs de sécurité peuvent identifier et bloquer le contenu final, sans une vision plus large, il est difficile de voir toute la portée de l’activité et d’associer les domaines sous un seul acteur de menace DNS » – Infoblox
Infoblox a pu découvrir cette opération massive grâce à des algorithmes qui signalent les domaines suspects ou malveillants. Grâce aux journaux de requêtes DNS passifs, les domaines nouvellement interrogés, enregistrés ou configurés sont évalués et signalés comme suspects ou malveillants s’ils répondent aux critères permettant de les associer à un acteur menaçant DNS.
La découverte de Prolific Puma a commencé avec des analyses automatisées, qui ont révélé quelques domaines connexes. Lorsque l’entreprise a déployé des algorithmes pour la découverte RDGA plus tôt cette année, les domaines utilisés ont été identifiés en groupes. Un autre algorithme a corrélé les clusters de domaines et les a attribués à un seul acteur menaçant du DNS.
Le rapport d’Infoblox fournit un ensemble d’indicateurs pour l’activité de Prolific Puma qui comprend des liens plus courts hébergeant des adresses IP et des domaines, des pages de redirection et de destination, ainsi qu’une adresse e-mail trouvée dans les données d’enregistrement de domaine.