Эксперты по кибербезопасности сообщают о 19-кратном увеличении вредоносных кампаний, запускаемых с доменов .es, что делает его третьим по распространенности, уступая только .com и .ru.
Домен верхнего уровня .es (TLD) — это домен, зарезервированный для страны Испания, или веб-сайты, ориентированные на испаноязычную аудиторию.Cofense сообщила, что злоупотребления доменом .es TLD начали набирать обороты в январе, и по состоянию на май на 1373 поддоменах размещались вредоносные веб-страницы на 447 базовых доменах .es.Исследователи сообщили, что 99% из них были направлены на фишинг учетных данных, в то время как оставшийся 1% был посвящен распространению троянских программ удаленного доступа (RAT), таких как ConnectWise RAT, Dark Crystal и XWorm. Вредоносное ПО распространялось либо через узел C2 или вредоносное электронное письмо, подделывающее информацию о хорошо известном бренде (Microsoft в 95 процентах случаев, что неудивительно), поэтому в самих кампаниях не было ничего необычного, кроме TLD.
Электронные письма, которые можно увидеть в открытом доступе, как правило, посвящены вопросам, связанным с работой, таким как Например, запросы в отдел кадров или просьбы о получении документов, а также сообщения часто являются хорошо составленными, а не простыми фразами.Домены .es, на которых размещается вредоносный контент, например поддельные порталы для входа в систему Microsoft, в большинстве случаев генерируются случайным образом, а не создаются человеком. Для потенциальных целей это потенциально облегчает поиск URL-адресов, похожих друг на друга или содержащих опечатки.
Ниже приведены некоторые примеры типов поддоменов, размещенных в базовых доменах .es:
- ag7sr[.]fjlabpkgcuo[.]es
- тренажерный зал 8[.]fwpzza[.]es
- md6h60[.]hukqpeny[.]es
- Shmkd[.]jlaancyfaw[.]es
<Что касается того, почему именно домен .es оказался таким популярным, Cofense не рискнула строить никаких предположений. Однако в нем говорилось, что, за исключением двух наиболее часто используемых доменов верхнего уровня (.com и .ru), количество остальных, как правило, колеблется от квартала к кварталу.
Несмотря на это, общий характер фишинговых кампаний, которые эксперты наблюдали за последние шесть месяцев, говорит о том, что сомнительные сайты .es могут сохраниться.
Компания Cofense заявила: «Если бы один участник угроз или группа участников угроз использовали преимущества доменов верхнего уровня .es, то, вероятно, бренды, подделанные в кампаниях в домене верхнего уровня .es, указывали бы на определенные предпочтения участников угроз, которые отличались бы от общих кампаний, проводимых широким кругом компаний. участников угроз с различными мотивами, целями и качеством кампании.
«Этого не было замечено, что делает вероятным то, что злоупотребление доменами TLD .es становится распространенным методом среди большой группы участников угроз, а не нескольких более специализированных групп».
Cofense обнаружила одно сходство почти между всеми доменами TLD. вредоносность доменов .es заключалась в том, что 99 процентов из них были размещены на Cloudflare, а большинство фишинговых страниц использовали капчу Cloudflare Turnstile.
«В то время как Cloudflare недавно упростил развертывание веб-страницы с помощью командной строки, разместив страницы на [.]страницах[.»разработчики, неясно, привлек ли их недавний шаг к упрощению развертывания доменов, размещенных на них, к их услугам хостинга на разных платформах, или есть другие причины, например, то, насколько строго или снисходительно Cloudflare относится к жалобам на злоупотребления», — написали исследователи в блоге.
По данным Интернет-корпорации по присвоению имен и номерных знаков (ICANN), домены с кодами стран Европейского союза (ccTLD), такие как .es, как правило, являются одними из наименее подверженных злоупотреблениям.
Как правило, они имеют больше ограничений на то, кто может зарегистрировать ccTLD, по сравнению с к общему ДВУ (gTLD), такому как .top и .zip, и не поддерживают массовые регистрации, что делает их менее привлекательными для тех, кто хочет массово ими злоупотреблять. ®
