{"id":997226,"date":"2023-11-01T14:01:43","date_gmt":"2023-11-01T16:01:43","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-chercheurs-exposent-le-service-prolifique-de-raccourcissement-des-liaisons-souterraines-de-puma\/"},"modified":"2023-11-01T14:01:47","modified_gmt":"2023-11-01T16:01:47","slug":"des-chercheurs-exposent-le-service-prolifique-de-raccourcissement-des-liaisons-souterraines-de-puma","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-chercheurs-exposent-le-service-prolifique-de-raccourcissement-des-liaisons-souterraines-de-puma\/","title":{"rendered":"Des chercheurs exposent le service prolifique de raccourcissement des liaisons souterraines de Puma"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

Un acteur mena\u00e7ant connu sous le nom de Puma prolifique<\/strong> a fait profil bas et exploite un service de raccourcissement de liaisons souterraines propos\u00e9 \u00e0 d’autres acteurs mena\u00e7ants depuis au moins quatre ans.<\/p>\n

Prolific Puma cr\u00e9e des \u00ab noms de domaine avec un RDGA<\/a> [registered domain generation algorithm] et utiliser ces domaines pour fournir un service de raccourcissement de liens \u00e0 d’autres acteurs malveillants, les aidant ainsi \u00e0 \u00e9chapper \u00e0 la d\u00e9tection lorsqu’ils diffusent du phishing, des escroqueries et des logiciels malveillants”, Infoblox dit<\/a> dans une nouvelle analyse reconstitu\u00e9e \u00e0 partir de Domain Name System (DNS)<\/a> analytique.<\/p>\n

Avec des acteurs malveillants connus pour utiliser des raccourcisseurs de liens pour des attaques de phishing, l’adversaire joue un r\u00f4le important dans la cha\u00eene d’approvisionnement de la cybercriminalit\u00e9, enregistrant entre 35 000 et 75 000 noms de domaine uniques depuis avril 2022. Prolific Puma est \u00e9galement un Acteur de menace DNS<\/a> pour exploiter l\u2019infrastructure DNS \u00e0 des fins n\u00e9fastes.<\/p>\n

Un aspect notable des op\u00e9rations de l’acteur malveillant est l’utilisation d’un registraire de domaine et d’une soci\u00e9t\u00e9 d’h\u00e9bergement Web am\u00e9ricaine nomm\u00e9e NameSilo pour l’enregistrement et les serveurs de noms en raison de son prix abordable et d’une API qui facilite l’enregistrement group\u00e9.<\/p>\n

\"La<\/a><\/center><\/div>\n

Prolific Puma, qui ne fait pas la publicit\u00e9 de son service de shortening sur les march\u00e9s clandestins, a \u00e9galement \u00e9t\u00e9 observ\u00e9 en train de recourir au vieillissement strat\u00e9gique pour garer des domaines enregistr\u00e9s pendant plusieurs semaines avant d’h\u00e9berger son service aupr\u00e8s de fournisseurs anonymes.<\/p>\n

“Les domaines Puma prolifiques sont alphanum\u00e9riques, pseudo-al\u00e9atoires, de longueur variable, g\u00e9n\u00e9ralement de 3 ou 4 caract\u00e8res, mais nous avons \u00e9galement observ\u00e9 des \u00e9tiquettes SLD allant jusqu’\u00e0 7 caract\u00e8res”, a expliqu\u00e9 Infoblox.<\/p>\n

En outre, l’acteur malveillant a enregistr\u00e9 des milliers de domaines dans le domaine de premier niveau am\u00e9ricain (usTLD<\/a>) depuis mai 2023, en utilisant \u00e0 plusieurs reprises une adresse email contenant une r\u00e9f\u00e9rence \u00e0 la chanson OCT 33 d’un groupe de soul psych\u00e9d\u00e9lique appel\u00e9 Pumas noirs<\/a>: blackpumaoct33@ukr[.]filet.<\/p>\n

\"Service<\/a><\/div>\n

L\u2019identit\u00e9 r\u00e9elle et les origines de Prolific Puma restent encore inconnues. Cela dit, plusieurs acteurs malveillants utiliseraient cette offre pour diriger les visiteurs vers des sites de phishing et d\u2019escroquerie, des d\u00e9fis CAPTCHA et m\u00eame d\u2019autres liens raccourcis cr\u00e9\u00e9s par un autre service.<\/p>\n

Dans un cas d’attaque de phishing et de logiciel malveillant document\u00e9 par Infoblox, les victimes cliquant sur un lien raccourci sont redirig\u00e9es vers une page de destination qui leur demande de fournir des informations personnelles et d’effectuer un paiement, et finalement d’infecter leurs syst\u00e8mes avec un logiciel malveillant de plug-in de navigateur.<\/p>\n

Cette divulgation intervient quelques semaines apr\u00e8s que la soci\u00e9t\u00e9 ait d\u00e9voil\u00e9 un autre acteur malveillant persistant du DNS nomm\u00e9 Enchev\u00eatrement ouvert<\/a> qui exploite une vaste infrastructure de domaines similaires d’institutions financi\u00e8res l\u00e9gitimes pour cibler les consommateurs \u00e0 des fins d’attaques de phishing et de smishing.<\/p>\n

“Prolific Puma d\u00e9montre comment le DNS peut \u00eatre utilis\u00e9 de mani\u00e8re abusive pour soutenir des activit\u00e9s criminelles et rester ind\u00e9tectable pendant des ann\u00e9es”, a-t-il d\u00e9clar\u00e9.<\/p>\n

L’outil de piratage Kopeechka inonde les plateformes en ligne de faux comptes<\/h2>\n

Cette \u00e9volution fait \u00e9galement suite \u00e0 un nouveau rapport de Trend Micro, qui r\u00e9v\u00e8le que les cybercriminels moins qualifi\u00e9s utilisent un nouvel outil appel\u00e9 Kopeechka<\/strong> (qui signifie \u00ab penny \u00bb en russe) pour automatiser la cr\u00e9ation de centaines de faux comptes de r\u00e9seaux sociaux en quelques secondes seulement.<\/p>\n

“Le service est actif depuis d\u00e9but 2019 et fournit des services simples d’enregistrement de compte pour les plateformes de m\u00e9dias sociaux populaires, notamment Instagram, Telegram, Facebook et X (anciennement Twitter)”, chercheur en s\u00e9curit\u00e9 C\u00e9dric Pernet. dit<\/a>.<\/p>\n

Kopeechka propose deux types d’adresses e-mail diff\u00e9rentes pour faciliter le processus d’enregistrement de masse\u00a0: les adresses e-mail h\u00e9berg\u00e9es dans 39 domaines appartenant \u00e0 l’acteur malveillant et celles h\u00e9berg\u00e9es sur des services d’h\u00e9bergement de messagerie plus populaires tels que Gmail, Hotmail, Outlook, Rambler et Zoho Mail.<\/p>\n

\"La<\/a><\/center><\/div>\n

“Kopeechka ne donne pas r\u00e9ellement acc\u00e8s aux bo\u00eetes aux lettres”, a expliqu\u00e9 Pernet. “Lorsque les utilisateurs demandent des bo\u00eetes aux lettres pour cr\u00e9er des comptes de r\u00e9seaux sociaux, ils obtiennent uniquement la r\u00e9f\u00e9rence de l’adresse e-mail et l’e-mail sp\u00e9cifique contenant le code de confirmation ou l’URL.”<\/p>\n

On soup\u00e7onne que ces adresses e-mail sont soit compromises, soit cr\u00e9\u00e9es par les acteurs de Kopeechka eux-m\u00eames.<\/p>\n

\"\"<\/a><\/div>\n

Avec des services en ligne int\u00e9grant la v\u00e9rification du num\u00e9ro de t\u00e9l\u00e9phone pour finaliser l’inscription, Kopeechka permet \u00e0 ses clients de choisir parmi 16 services SMS en ligne diff\u00e9rents, dont la plupart proviennent de Russie.<\/p>\n

En plus d’acc\u00e9l\u00e9rer la cybercriminalit\u00e9 et de permettre aux auteurs de menaces de lancer des op\u00e9rations \u00e0 grande \u00e9chelle, ces outils \u2013 cr\u00e9\u00e9s dans le cadre du mod\u00e8le commercial \u00ab as-a-service \u00bb \u2013 mettent en \u00e9vidence la professionnalisation de l’\u00e9cosyst\u00e8me criminel.<\/p>\n

“Les services de Kopeechka peuvent faciliter la cr\u00e9ation en masse de comptes en ligne, de mani\u00e8re simple et abordable, ce qui pourrait \u00eatre utile aux cybercriminels”, a d\u00e9clar\u00e9 Pernet.<\/p>\n

“Bien que Kopeechka soit principalement utilis\u00e9 pour la cr\u00e9ation de plusieurs comptes, il peut \u00e9galement \u00eatre utilis\u00e9 par les cybercriminels qui souhaitent ajouter un certain degr\u00e9 d’anonymat \u00e0 leurs activit\u00e9s, car ils n’ont pas besoin d’utiliser leurs propres adresses e-mail pour cr\u00e9er des comptes sur les plateformes de m\u00e9dias sociaux. “.<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n