По данным специалистов Cofense, количество вредоносных кампаний, запускаемых с доменов .es, увеличилось в 19 раз. Такие домены становятся третьими по популярности среди злоумышленников, уступая лишь .com и .ru.
Доменная зона .es - это домен, зарезервированный для Испании или сайтов, ориентированных на испаноязычную аудиторию.
Злоупотребления доменами .es начались в январе 2025 года, и по состоянию на май текущего года на 447 базовых доменах .es и 1373 поддоменах были размещены вредоносные страницы.
Эксперты сообщают, что 99% вредоносных страниц направлены на фишинг учетных данных, а оставшийся 1% используется для распространения троянов удаленного доступа (RAT), включая ConnectWise RAT, Dark Crystal и XWorm.
Обычно такая малварь продвигается через вредоносные письма, маскирующиеся под известные бренды (в 95% случаев — под компанию Microsoft). Письма злоумышленников, как правило, посвящены рабочим вопросам, например, кадровым запросам или просьбам о получении документов. При этом сообщения зачастую хорошо проработаны, а не состоят из односложных фраз.
Домены .es, на которых размещается вредоносный контент (например, фальшивые страницы для входа в систему Microsoft), в большинстве случаев генерируются случайным образом, а не создаются людьми. В отчете исследователей приведены примеры разных типов поддоменов, размещенных на доменах .es:
- ag7sr[.]fjlabpkgcuo[.]es;
- gymi8[.]fwpzza[.]es;
- md6h60[.]hukqpeny[.]es;
- Shmkd[.]jlaancyfaw[.]es.
Исследователи не высказывают никаких предположений о том, почему именно домен .es вдруг стал популярен среди преступников. В компании отмечают, что только домены .com и .ru всегда остаются попрулярными у злоумышленников, а остальные доменные зоны могут меняться от квартала к кварталу.
«Если бы только один злоумышленник или хак-группа активно использовали домены .es, то бренды, под которые они маскируются в рамках своих кампаний, вероятно, отражали бы специфические предпочтения этих злоумышленников (отличающиеся от того, что наблюдается в обычных фишинговых кампаниях, запускаемых множеством атакующих с разными целями, мотивами и уровнем качества). Однако такого замечено не было, что говорит в пользу того, что злоупотребление доменами .es становится распространенной тактикой для большого числа атакующих, а не отличительной чертой нескольких узкоспециализированных групп», — пишут в Cofense.
Одна из общих черт, которую исследователи заметили почти у всех вредоносных .es-доменов: 99% из них используют Cloudflare. Причем большинство фишинговых страниц используют CAPTCHA Cloudflare Turnstile.
«Хотя недавно Cloudflare упростила развертывание веб-страниц с помощью командной строки и платформы [.]pages[.]dev, пока неясно, именно это нововведение привлекло злоумышленников, или дело в чем-то другом. Например, в том, насколько строго или мягко Cloudflare реагирует на жалобы о злоупотреблениях», — отмечают эксперты.
