Un acteur menaçant connu sous le nom de Puma prolifique a fait profil bas et exploite un service de raccourcissement de liaisons souterraines proposé à d’autres acteurs menaçants depuis au moins quatre ans.
Prolific Puma crée des « noms de domaine avec un RDGA [registered domain generation algorithm] et utiliser ces domaines pour fournir un service de raccourcissement de liens à d’autres acteurs malveillants, les aidant ainsi à échapper à la détection lorsqu’ils diffusent du phishing, des escroqueries et des logiciels malveillants », Infoblox dit dans une nouvelle analyse reconstituée à partir de Domain Name System (DNS) analytique.
Avec des acteurs malveillants connus pour utiliser des raccourcisseurs de liens pour des attaques de phishing, l’adversaire joue un rôle important dans la chaîne d’approvisionnement de la cybercriminalité, enregistrant entre 35 000 et 75 000 noms de domaine uniques depuis avril 2022. Prolific Puma est également un Acteur de menace DNS pour exploiter l’infrastructure DNS à des fins néfastes.
Un aspect notable des opérations de l’acteur malveillant est l’utilisation d’un registraire de domaine et d’une société d’hébergement Web américaine nommée NameSilo pour l’enregistrement et les serveurs de noms en raison de son prix abordable et d’une API qui facilite l’enregistrement groupé.
Prolific Puma, qui ne fait pas la publicité de son service de shortening sur les marchés clandestins, a également été observé en train de recourir au vieillissement stratégique pour garer des domaines enregistrés pendant plusieurs semaines avant d’héberger son service auprès de fournisseurs anonymes.
« Les domaines Puma prolifiques sont alphanumériques, pseudo-aléatoires, de longueur variable, généralement de 3 ou 4 caractères, mais nous avons également observé des étiquettes SLD allant jusqu’à 7 caractères », a expliqué Infoblox.
En outre, l’acteur malveillant a enregistré des milliers de domaines dans le domaine de premier niveau américain (usTLD) depuis mai 2023, en utilisant à plusieurs reprises une adresse email contenant une référence à la chanson OCT 33 d’un groupe de soul psychédélique appelé Pumas noirs: blackpumaoct33@ukr[.]filet.
L’identité réelle et les origines de Prolific Puma restent encore inconnues. Cela dit, plusieurs acteurs malveillants utiliseraient cette offre pour diriger les visiteurs vers des sites de phishing et d’escroquerie, des défis CAPTCHA et même d’autres liens raccourcis créés par un autre service.
Dans un cas d’attaque de phishing et de logiciel malveillant documenté par Infoblox, les victimes cliquant sur un lien raccourci sont redirigées vers une page de destination qui leur demande de fournir des informations personnelles et d’effectuer un paiement, et finalement d’infecter leurs systèmes avec un logiciel malveillant de plug-in de navigateur.
Cette divulgation intervient quelques semaines après que la société ait dévoilé un autre acteur malveillant persistant du DNS nommé Enchevêtrement ouvert qui exploite une vaste infrastructure de domaines similaires d’institutions financières légitimes pour cibler les consommateurs à des fins d’attaques de phishing et de smishing.
« Prolific Puma démontre comment le DNS peut être utilisé de manière abusive pour soutenir des activités criminelles et rester indétectable pendant des années », a-t-il déclaré.
L’outil de piratage Kopeechka inonde les plateformes en ligne de faux comptes
Cette évolution fait également suite à un nouveau rapport de Trend Micro, qui révèle que les cybercriminels moins qualifiés utilisent un nouvel outil appelé Kopeechka (qui signifie « penny » en russe) pour automatiser la création de centaines de faux comptes de réseaux sociaux en quelques secondes seulement.
« Le service est actif depuis début 2019 et fournit des services simples d’enregistrement de compte pour les plateformes de médias sociaux populaires, notamment Instagram, Telegram, Facebook et X (anciennement Twitter) », chercheur en sécurité Cédric Pernet. dit.
Kopeechka propose deux types d’adresses e-mail différentes pour faciliter le processus d’enregistrement de masse : les adresses e-mail hébergées dans 39 domaines appartenant à l’acteur malveillant et celles hébergées sur des services d’hébergement de messagerie plus populaires tels que Gmail, Hotmail, Outlook, Rambler et Zoho Mail.
« Kopeechka ne donne pas réellement accès aux boîtes aux lettres », a expliqué Pernet. « Lorsque les utilisateurs demandent des boîtes aux lettres pour créer des comptes de réseaux sociaux, ils obtiennent uniquement la référence de l’adresse e-mail et l’e-mail spécifique contenant le code de confirmation ou l’URL. »
On soupçonne que ces adresses e-mail sont soit compromises, soit créées par les acteurs de Kopeechka eux-mêmes.
Avec des services en ligne intégrant la vérification du numéro de téléphone pour finaliser l’inscription, Kopeechka permet à ses clients de choisir parmi 16 services SMS en ligne différents, dont la plupart proviennent de Russie.
En plus d’accélérer la cybercriminalité et de permettre aux auteurs de menaces de lancer des opérations à grande échelle, ces outils – créés dans le cadre du modèle commercial « as-a-service » – mettent en évidence la professionnalisation de l’écosystème criminel.
« Les services de Kopeechka peuvent faciliter la création en masse de comptes en ligne, de manière simple et abordable, ce qui pourrait être utile aux cybercriminels », a déclaré Pernet.
« Bien que Kopeechka soit principalement utilisé pour la création de plusieurs comptes, il peut également être utilisé par les cybercriminels qui souhaitent ajouter un certain degré d’anonymat à leurs activités, car ils n’ont pas besoin d’utiliser leurs propres adresses e-mail pour créer des comptes sur les plateformes de médias sociaux. « .