Группировка Prolific Puma на протяжении как минимум четырех последних лет предоставляет услугу по сокращению ссылок другим злоумышленникам. Только за последние полтора года хакеры зарегистрировали до 75 000 уникальных доменных имен, в основном злоупотребляя API регистратора NameSilo.
Аналитики компании Infoblox, специализирующейся на DNS-угрозах, сообщают, что Prolific Puma создает доменные имена, используя RDGA (Registered Domain Generation Algorithm) и использует эти домены для предоставления услуг по сокращению ссылок другим злоумышленникам, «тем самым помогая им избежать обнаружения при распространении фишинговых, мошеннических и вредоносных программ».
Как известно, хакеры часто используют укорачиватели ссылок для фишинговых атак, поэтому Prolific Puma играет важную роль в хакерской цепочке поставок. Исследователи подсчитали, что только за период апреля 2022 года по настоящее время злоумышленники зарегистрировали от 35 000 до 75 000 уникальных доменных имен (до 800 доменов в день).
Эксперты пишут, что примечательной особенностью деятельности этой группы является злоупотребление услугами американского регистратора доменов и хостера NameSilo, который отлично подходит для целей Prolific Puma благодаря наличию API, облегчающего массовую регистрацию. Эксперты отмечают, что этот регистратор в целом часто подвергается злоупотреблениям со стороны киберпреступников.
Хотя многочисленные домены группировки распределены по 13 разным доменным зонам, известно, что с мая 2023 года группа зарегистрировала тысячи американских доменов верхнего уровня (usTLD), неоднократно используя для этого адрес электронной почты, содержащий отсылку к песне «OCT 33» группы Black Pumas: blackpumaoct33@ukr[.]net.
Группировка прибегает к умышленному состариванию зарегистрированных доменов, паркуя их на несколько недель перед использованием. Обычно в течение этого периода хакеры делают несколько DNS-запросов, чтобы заработать репутацию. Затем, когда все готово, они передают эти домены «пуленепробиваемому» хостеру, услуги которого оплачиваются в биткоинах, и он предоставляет хакерам VPS c выделенным IP-адресом.
«Обычно домены Prolific Puma выглядят как буквенно-цифровые, псевдослучайные адреса, с переменной длиной (обычно 3 или 4 символа), но мы также наблюдали SLD-label длиной до 7 символов», — пишут исследователи.
При этом исследователи подчеркивают, что Prolific Puma, не рекламирует свои услуги по сокращению URL на хакерских форума.
Методы доставки вредоносных ссылок различаются, они могут распространяться как через социальные сети, так и посредством рекламы, но основным каналом распространения исследователи считают текстовые сообщения.
О происхождении и атрибуции Prolific Puma пока ничего неизвестно. Однако, по имеющимся у исследователей данным, многие злоумышленники используют услуги группировки для переадресации своих жертв на фишинговые и мошеннические сайты, и даже перенаправления на другие укороченные ссылки, созданные другими похожими сервисами.
Например, в одной фишинговой атаке, задокументированной Infoblox, жертвы, перешедшие по сокращенной ссылке, попадали на целевую страницу, где им предлагалось оставить личные данные, произвести оплату и, в конечном итоге, заразить свою систему вредоносным плагином для браузера.
«Хотя поставщики защитных услуг могут идентифицировать и блокировать конечный контент, без более широкого анализа трудно увидеть весь масштаб деятельности и связать эти домены с одним DNS-злоумышленником», — заключают специалисты Infoblox.
Фото: Bleeping Computer