Un popolare servizio di abbreviazione dei link sta fornendo ai cyberattaccanti e truffatori domini di primo livello .us, rendendo le loro campagne di phishing leggermente meno rilevabili.
Il modus operandi di Prolific Puma
Secondo un rapporto pubblicato questa settimana da Infoblox, l’attore minaccioso dietro questa operazione è stato denominato “Prolific Puma”. Negli ultimi 18 mesi, Prolific Puma ha generato fino a 75.000 nomi di dominio unici, fornendo spesso ai criminali URL che terminano con .us. Tuttavia, il servizio offerto da Prolific Puma va oltre la semplice abbreviazione dei link. Come spiega Renee Burton, responsabile dell’intelligence sulle minacce presso Infoblox, i link abbreviati offrono ai malintenzionati una serie di vantaggi, tra cui una maggiore resistenza alla rilevazione da parte di prodotti di sicurezza automatizzati.
Come funziona l’RGDA
Il segreto dell’operazione di Prolific Puma risiede in quello che Infoblox chiama “algoritmo di generazione di domini registrati” o RGDA. Questi sfruttano le API offerte dai registrar per creare centinaia di migliaia di domini, tutti regolarmente registrati, offrendo ai cyberattaccanti una maggiore robustezza e tolleranza ai guasti per la loro infrastruttura. Prolific Puma ha utilizzato domini di primo livello comuni come .me, .cc e .info. Tuttavia, da maggio 2023, più della metà dei suoi domini hanno l’estensione .us.
Il problema dei domini .us
I domini .us sono riservati ai cittadini e alle organizzazioni americane. Tuttavia, nella pratica, le regole non sono sempre applicate rigorosamente. Prolific Puma utilizza principalmente il registrar NameSilo, che non verifica le informazioni fornite, permettendo di utilizzare dati falsi. Inoltre, i registranti possono pagare i loro domini con bitcoin, aggiungendo un ulteriore livello di anonimato al processo.
Combattere la criminalità informatica
È evidente che combattere la criminalità informatica a questo punto cruciale della catena di approvvigionamento inizia con i registrar di domini. Tuttavia, affrontare questo problema richiederà uno sforzo combinato. Burton sottolinea che i registrar possono utilizzare l’intelligence sulle minacce di terze parti per identificare domini e utenti sospetti e possono collaborare con gruppi di difesa della sicurezza informatica per informare le decisioni politiche.