Descoberto serviço massivo de encurtamento de URL de cibercrime através de dados DNS
1 de Novembro de 2023

Um ator que pesquisadores de segurança chamam de Prolific Puma tem fornecido serviços de encurtamento de link para criminosos cibernéticos por pelo menos quatro anos, mantendo um perfil suficientemente baixo para operar sem ser detectado.

Em menos de um mês, a Prolific Puma registrou milhares de domínios, muitos no domínio de nível superior dos EUA (usTLD), para ajudar na entrega de phishing, fraudes e malwares.

Pesquisadores da Infoblox, uma fornecedora de segurança centrada em DNS que analisa 70 bilhões de consultas DNS diariamente, observaram pela primeira vez a atividade da Prolific Puma há seis meses, após detectar um algoritmo de geração de domínio registrado (RDGA) para criar os nomes de domínio para o serviço malicioso de encurtamento de URL.

Utilizando detectores DNS especializados, eles conseguiram rastrear a rede maliciosa à medida que evoluía e abusava do usTLD para facilitar o crime na internet.

Por causa da natureza dos serviços de encurtamento de link, a Infoblox conseguiu rastrear os links curtos, mas não a página de destino final, apesar de detectar um grande número de domínios interconectados exibindo comportamento suspeito.

Alguns dos links curtos da Prolific Puma levaram diretamente ao destino final, mas outros apontaram para vários redirecionamentos, até mesmo outros links encurtados, antes de chegar à página de destino.

A Infoblox afirma que também houve casos em que o acesso ao link encurtado levou o usuário a um desafio CAPTCHA, provavelmente para proteger contra varreduras automatizadas.

Por causa dessa inconsistência no que os links curtos da Prolific Puma carregavam em seguida, os pesquisadores acreditam que vários atores estão usando o serviço.

O método de entrega desses links também varia e inclui redes sociais e anúncios, mas as evidências apontam para mensagens de texto como o principal canal.

O tamanho da operação Prolific Puma descoberta pela Infoblox é impressionante. O ator registrou até 75.000 nomes de domínio únicos desde abril de 2022.

Ao analisar os domínios únicos na rede do ator, os pesquisadores viram no início do ano um pico de quase 800 domínios de até quatro caracteres criados em um único dia.

Os domínios Prolific Puma estão espalhados por 13 TLDs. Desde maio deste ano, porém, o ator usou o usTLD para mais da metade dos domínios totais criados, a média diária sendo 43.

Desde meados de outubro, os pesquisadores notaram cerca de 2.000 domínios nos usTLD indicando atividade Prolific Puma que estão por trás da proteção de registro privado.

Vale ressaltar que os registros privados não são permitidos no namespace .US sob a política atual e o registrante é obrigado a fornecer informações precisas e verdadeiras.

Além disso, os registradores têm a obrigação de não oferecer registros de domínio privados aos registrantes de nomes de domínio .US.

Normalmente, os domínios Prolific Puma são alfanuméricos, pseudoaleatórios e variam em tamanho, sendo os de três ou quatro caracteres os mais comuns.

No entanto, os pesquisadores observaram domínios de até sete caracteres.

Nos últimos três anos, o ator utilizou hospedagem principalmente da NameSilo, um registrador de domínio de internet barato que é frequentemente abusado por criminosos cibernéticos e que oferece uma API para registro em massa.

Para evitar o escrutínio e a detecção, Prolific Puma envelhece seus domínios, deixando-os inativos ou estacionados por várias semanas.

Durante esse período, o ator faz algumas consultas DNS para ganhar reputação.

Quando prontos para uso, o ator transfere os domínios para um provedor de hospedagem à prova de balas, pagando em criptomoeda Bitcoin por um servidor privado virtual com serviço com um endereço IP dedicado.

A Infoblox descobriu que alguns desses domínios são abandonados após um período, mas o registro DNS ainda aponta para o IP dedicado.

Os pesquisadores acreditam que a Prolific Puma apenas fornece o serviço de link curto e não controla as páginas de destino, mas não excluem a possibilidade de que o mesmo ator execute toda a operação.

Abaixo está um exemplo de como o serviço da Prolific Puma é usado em uma campanha com uma página de phishing pedindo credenciais e pagamento para, finalmente, entregar um plugin malicioso para o navegador.

De acordo com a Infoblox, o ator não anuncia seu serviço de encurtamento nos mercados clandestinos, mas é o maior e mais dinâmico.

Usar dezenas de milhares de nomes de domínio registrados em vários registradores permite que eles passem despercebidos.

A Infoblox conseguiu descobrir a operação massiva através de algoritmos que sinalizam domínios suspeitos ou maliciosos.

Através dos logs de consulta DNS passiva, domínios recém-consultados, registrados ou configurados são avaliados e marcados como suspeitos ou maliciosos se atenderem aos critérios para associá-los a um ator de ameaça DNS.

A descoberta da Prolific Puma começou com análises automatizadas, que revelaram alguns domínios relacionados.

Quando a empresa implantou algoritmos para descoberta de RDGA no início deste ano, os domínios usados ​​foram identificados em grupos.

Outro algoritmo correlacionou os clusters de domínio e os atribuiu a um único ator de ameaça DNS.

O relatório da Infoblox fornece um conjunto de indicadores de atividade da Prolific Puma que inclui endereços IP de hospedagem de encurtador de link e domínios, páginas de redirecionamento e destino, e um endereço de email encontrado nos dados de registro de domínio.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...