Een bedreigingsacteur bekend als Productieve poema heeft zich op de achtergrond gehouden en exploiteert al minstens de afgelopen vier jaar een dienst voor het verkorten van ondergrondse verbindingen die aan andere dreigingsactoren wordt aangeboden.
Prolific Puma creëert “domeinnamen met een RDGA [registered domain generation algorithm] en deze domeinen gebruiken om een linkverkortingsservice aan te bieden aan andere kwaadwillende actoren, waardoor ze detectie kunnen omzeilen terwijl ze phishing, oplichting en malware verspreiden”, aldus Infoblox in een nieuwe analyse, samengesteld uit Domain Name System (DNS) analytics.
Omdat kwaadwillende actoren erom bekend staan linkverkorters te gebruiken voor phishing-aanvallen, speelt de tegenstander een belangrijke rol in de toeleveringsketen van cybercriminaliteit, waarbij hij sinds april 2022 tussen de 35.000 en 75.000 unieke domeinnamen heeft geregistreerd. Prolific Puma is ook een DNS-bedreigingsactoren voor het misbruiken van de DNS-infrastructuur voor snode doeleinden.
Een opmerkelijk aspect van de activiteiten van de bedreigingsacteur is het gebruik van een Amerikaanse domeinregistreerder en webhostingbedrijf genaamd NameSilo voor registratie en naamservers vanwege de betaalbaarheid en een API die bulkregistratie mogelijk maakt.
Er is ook waargenomen dat Prolific Puma, dat zijn verkortingsservice niet op ondergrondse markten adverteert, zijn toevlucht neemt tot strategische veroudering door geregistreerde domeinen enkele weken te parkeren voordat ze hun service hosten bij anonieme providers.
“Prolific Puma-domeinen zijn alfanumeriek, pseudo-willekeurig, met variabele lengte, meestal 3 of 4 tekens lang, maar we hebben ook SLD-labels waargenomen die wel 7 tekens lang zijn”, legt Infoblox uit.
Bovendien heeft de bedreigingsacteur sinds mei 2023 duizenden domeinen geregistreerd in het Amerikaanse topniveaudomein (usTLD), waarbij hij herhaaldelijk een e-mailadres gebruikte met een verwijzing naar het nummer OCT 33 van een psychedelische soulband genaamd Black Pumas: blackpumaoct33@ukr[.]netto.
De identiteit en oorsprong van Prolific Puma in de echte wereld is nog onbekend. Dat gezegd hebbende, zouden meerdere bedreigingsactoren het aanbod gebruiken om bezoekers naar phishing- en oplichtingssites, CAPTCHA-uitdagingen en zelfs andere verkorte links te leiden die door een andere dienst zijn gemaakt.
In één geval van een door Infoblox gedocumenteerde phishing-malware-aanval worden slachtoffers die op een verkorte link klikken, naar een landingspagina geleid waar hen wordt gevraagd persoonlijke gegevens op te geven en een betaling uit te voeren, en uiteindelijk hun systemen te infecteren met browserplug-malware.
De onthulling komt weken nadat het bedrijf een andere hardnekkige DNS-bedreigingsacteur met de codenaam Open Tangle heeft blootgelegd, die gebruik maakt van een grote infrastructuur van gelijksoortige domeinen van legitieme financiële instellingen om consumenten te targeten voor phishing- en smishing-aanvallen.
“Prolific Puma laat zien hoe de DNS kan worden misbruikt om criminele activiteiten te ondersteunen en jarenlang onopgemerkt kan blijven”, aldus het rapport.
Kopeechka Hacking Tool overspoelt online platforms met valse accounts
De ontwikkeling volgt ook op een nieuw rapport van Trend Micro, waaruit bleek dat minder bekwame cybercriminelen een nieuwe tool gebruiken genaamd Kopeechka (wat ‘cent’ betekent in het Russisch) om het aanmaken van honderden valse sociale media-accounts in slechts een paar seconden te automatiseren.
“De dienst is actief sinds begin 2019 en biedt eenvoudige accountregistratiediensten voor populaire sociale mediaplatforms, waaronder Instagram, Telegram, Facebook en X (voorheen Twitter)”, aldus beveiligingsonderzoeker Cedric Pernet.
Kopeechka biedt twee soorten verschillende e-mailadressen om te helpen bij het massaregistratieproces: e-mailadressen die worden gehost in 39 domeinen die eigendom zijn van de bedreigingsacteur en adressen die worden gehost op meer populaire e-mailhostingservices zoals Gmail, Hotmail, Outlook, Rambler en Zoho-mail.
“Kopeechka biedt eigenlijk geen toegang tot de daadwerkelijke mailboxen”, legt Pernet uit. “Wanneer gebruikers om mailboxen vragen om sociale media-accounts aan te maken, krijgen ze alleen de e-mailadresreferentie en de specifieke e-mail die de bevestigingscode of URL bevat.”
Er wordt vermoed dat deze e-mailadressen zijn gecompromitteerd of door de Kopeechka-acteurs zelf zijn gemaakt.
Met onlinediensten die telefoonnummerverificatie bevatten om de registratie te voltooien, stelt Kopeechka haar klanten in staat te kiezen uit 16 verschillende online sms-diensten, waarvan de meeste afkomstig zijn uit Rusland.
Naast het versnellen van cybercriminaliteit en het uitrusten van bedreigingsactoren om volwaardige operaties op grote schaal te lanceren, benadrukken dergelijke tools – gecreëerd als onderdeel van het ‘as-a-service’ bedrijfsmodel – de professionalisering van het criminele ecosysteem.
“De diensten van Kopeechka kunnen een gemakkelijke en betaalbare manier faciliteren om massaal online accounts aan te maken, wat nuttig zou kunnen zijn voor cybercriminelen”, aldus Pernet.
“Hoewel Kopeechka voornamelijk wordt gebruikt voor het aanmaken van meerdere accounts, kan het ook worden gebruikt door cybercriminelen die een zekere mate van anonimiteit aan hun activiteiten willen toevoegen, omdat ze geen van hun eigen e-mailadressen hoeven te gebruiken om accounts op sociale mediaplatforms aan te maken. .”
