Un actor de amenazas conocido como Puma prolífico ha estado manteniendo un perfil bajo y operando un servicio de acortamiento de enlaces subterráneos que se ofrece a otros actores de amenazas durante al menos los últimos cuatro años.
El prolífico Puma crea «nombres de dominio con un RDGA [registered domain generation algorithm] y utilizar estos dominios para proporcionar un servicio de acortamiento de enlaces a otros actores maliciosos, ayudándolos a evadir la detección mientras distribuyen phishing, estafas y malware», Infoblox dicho en un nuevo análisis elaborado a partir del Sistema de nombres de dominio (DNS) analítica.
Dado que se sabe que los actores maliciosos utilizan acortadores de enlaces para ataques de phishing, el adversario desempeña un papel importante en la cadena de suministro del ciberdelito, registrando entre 35.000 y 75.000 nombres de dominio únicos desde abril de 2022. El prolífico Puma también es un Actor de amenazas DNS por aprovechar la infraestructura DNS para fines nefastos.
Un aspecto notable de las operaciones del actor de amenazas es el uso de una empresa estadounidense de alojamiento web y registro de dominios llamada NameSilo para el registro y los servidores de nombres debido a su asequibilidad y una API que facilita el registro masivo.
También se ha observado que la prolífica Puma, que no anuncia su servicio de acortamiento en mercados clandestinos, recurre al envejecimiento estratégico para estacionar dominios registrados durante varias semanas antes de alojar su servicio con proveedores anónimos.
«Los prolíficos dominios Puma son alfanuméricos, pseudoaleatorios, con longitud variable, normalmente de 3 o 4 caracteres, pero también hemos observado etiquetas SLD de hasta 7 caracteres», explicó Infoblox.
Además, el actor de amenazas ha registrado miles de dominios en el dominio de nivel superior de EE. UU. (usTLD) desde mayo de 2023, utilizando repetidamente una dirección de correo electrónico que contenía una referencia a la canción OCT 33 de una banda de soul psicodélico llamada Pumas Negras: blackpumaoct33@ukr[.]neto.
La identidad y los orígenes del mundo real de Prolific Puma siguen siendo desconocidos hasta el momento. Dicho esto, se dice que múltiples actores de amenazas están utilizando la oferta para llevar a los visitantes a sitios de phishing y estafa, desafíos CAPTCHA e incluso otros enlaces acortados creados por un servicio diferente.
En un caso de un ataque de phishing con malware documentado por Infoblox, las víctimas que hacen clic en un enlace acortado son dirigidas a una página de destino que les solicita que proporcionen datos personales y realicen un pago y, en última instancia, infectan sus sistemas con malware de complemento del navegador.
La divulgación se produce semanas después de que la compañía expusiera otro actor de amenaza DNS persistente con nombre en código. Maraña abierta que aprovecha una gran infraestructura de dominios similares de instituciones financieras legítimas para atacar a los consumidores con ataques de phishing y smishing.
«El prolífico Puma demuestra cómo se puede abusar del DNS para respaldar actividades delictivas y permanecer sin ser detectado durante años», dijo.
La herramienta de piratería Kopeechka inunda plataformas en línea con cuentas falsas
El desarrollo también sigue a un nuevo informe de Trend Micro, que encontró que los ciberdelincuentes menos capacitados están utilizando una nueva herramienta llamada kopechka (que significa «centavo» en ruso) para automatizar la creación de cientos de cuentas falsas de redes sociales en tan solo unos segundos.
«El servicio ha estado activo desde principios de 2019 y proporciona servicios sencillos de registro de cuentas para plataformas de redes sociales populares, incluidas Instagram, Telegram, Facebook y X (anteriormente Twitter)», dijo el investigador de seguridad Cedric Pernet. dicho.
Kopeechka proporciona dos tipos de direcciones de correo electrónico diferentes para ayudar con el proceso de registro masivo: direcciones de correo electrónico alojadas en 39 dominios propiedad del actor de amenazas y aquellas que están alojadas en servicios de alojamiento de correo electrónico más populares como Gmail, Hotmail, Outlook, Rambler y Correo Zoho.
«En realidad, Kopeechka no proporciona acceso a los buzones de correo», explicó Pernet. «Cuando los usuarios solicitan buzones de correo para crear cuentas de redes sociales, solo obtienen la referencia de la dirección de correo electrónico y el correo electrónico específico que contiene el código de confirmación o URL».
Se sospecha que estas direcciones de correo electrónico están comprometidas o fueron creadas por los propios actores de Kopeechka.
Con servicios en línea que incorporan la verificación del número de teléfono para completar el registro, Kopeechka permite a sus clientes elegir entre 16 servicios de SMS en línea diferentes, la mayoría de los cuales se originan en Rusia.
Además de acelerar el cibercrimen y equipar a los actores de amenazas para lanzar operaciones completas a escala, estas herramientas (creadas como parte del modelo de negocio «como servicio») resaltan la profesionalización del ecosistema criminal.
«Los servicios de Kopeechka pueden facilitar una forma fácil y asequible de crear cuentas en línea en masa, lo que podría resultar útil para los ciberdelincuentes», afirmó Pernet.
«Si bien Kopeechka se utiliza principalmente para la creación de múltiples cuentas, también puede ser utilizado por ciberdelincuentes que quieran añadir un grado de anonimato a sus actividades, ya que no necesitan utilizar ninguna de sus propias direcciones de correo electrónico para crear cuentas en plataformas de redes sociales. «.