Le domaine de premier niveau pour les États-Unis — .NOUS – héberge des milliers de domaines nouvellement enregistrés liés à un service de raccourcissement de liens malveillant qui facilite les escroqueries par les logiciels malveillants et le phishing, suggère une nouvelle étude. Ces résultats font suite à un rapport qui identifiait les domaines .US comme étant parmi les plus répandus dans les attaques de phishing au cours de l’année écoulée.
Des chercheurs à Infoblox disent qu’ils ont suivi ce qui semble être un service de raccourcissement de liens vieux de trois ans qui s’adresse aux phishers et aux fournisseurs de logiciels malveillants. Infoblox a découvert que les domaines impliqués comportent généralement de trois à sept caractères et sont hébergés sur des fournisseurs d’hébergement à toute épreuve qui facturent un supplément pour ignorer tout abus ou plainte juridique. Les domaines courts n’hébergent aucun contenu eux-mêmes, mais sont utilisés pour masquer l’adresse réelle des pages de destination qui tentent d’hameçonner les utilisateurs ou d’installer des logiciels malveillants.
Un graphique décrivant les opérations d’un service de raccourcissement de liens malveillant qu’Infoblox a surnommé « Prolific Puma ».
Infoblox affirme qu’il n’est pas clair comment les pages de destination de phishing et de logiciels malveillants liées à ce service sont initialement promues, bien qu’ils soupçonnent que cela soit principalement dû à des escroqueries ciblant les personnes sur leur téléphone via SMS. Un nouveau rapport indique que la société a cartographié les contours de ce service de raccourcissement de liens grâce en partie à des modèles pseudo-aléatoires dans les domaines courts, qui apparaissent tous à première vue comme un fouillis dénué de sens de lettres et de chiffres.
« Cela a attiré notre attention parce que nous disposons de systèmes qui détectent les enregistrements qui utilisent des algorithmes de génération de noms de domaine », a déclaré Renée Burton, responsable du renseignement sur les menaces chez Infoblox. « Nous n’avons trouvé aucun contenu légitime diffusé via leurs raccourcisseurs. »
Infoblox a déterminé que jusqu’en mai 2023, les domaines se terminant par .info représentaient la majeure partie des nouveaux enregistrements liés au service de raccourcissement de liens malveillants, qu’Infoblox a surnommé «Puma prolifique.» Depuis lors, ils ont découvert que la personne responsable de l’exploitation du service utilisait .US pour environ 55 % du total des domaines créés, avec plusieurs dizaines de nouveaux domaines .US malveillants enregistrés quotidiennement.
.US est supervisé par le Administration nationale des télécommunications et de l’information (NTIA), une agence exécutive du Département américain du Commerce. Mais l’Oncle Sam a longtemps sous-traité la gestion du .US à diverses sociétés privées, ce qui a progressivement permis au domaine de premier niveau des États-Unis de se transformer en un cloaque d’activités de phishing.
C’est du moins ce qui conclut Le groupe de conseil Interisle, qui rassemble des données sur le phishing provenant de plusieurs sources industrielles et publie un rapport annuel sur les dernières tendances. Dès 2018, Interisle a découvert que les domaines .US étaient les pires au monde en matière de spam, de botnet (infrastructure d’attaque pour DDOS, etc.) et de contenu illicite ou nuisible.
Interisle étude la plus récente a examiné six millions de rapports de phishing entre le 1er mai 2022 et le 30 avril 2023 et a identifié environ 30 000 domaines de phishing .US. Interisle a découvert qu’un nombre important de domaines .US étaient enregistrés pour attaquer certaines des entreprises les plus importantes des États-Unis, notamment Bank of America, Amazon, Apple, AT&T, Citi, Comcast, Microsoft, Meta et Target. D’autres ont été utilisés pour usurper l’identité ou attaquer des agences gouvernementales américaines.
Conformément aux réglementations de la NTIA, les bureaux d’enregistrement de domaines qui traitent les enregistrements de domaines .US doivent prendre certaines étapes (PDF) pour vérifier que ces clients résident réellement aux États-Unis, ou bien possèdent des organisations basées aux États-Unis. Cependant, si l’on enregistre un domaine .US via GoDaddy – le plus grand registraire de domaine et l’administrateur actuel du contrat .US – le La manière de « prouver » leur lien avec les États-Unis consiste simplement à choisir parmi l’une des trois réponses affirmatives présélectionnées.
À une époque où la plupart des bureaux d’enregistrement de domaines suppriment automatiquement les informations client des enregistrements d’enregistrement accessibles au public pour éviter d’enfreindre les lois européennes sur la confidentialité, .US est resté une exception car sa charte précise que tous les enregistrements d’enregistrement doivent être rendus publics. Cependant, Infoblox a déclaré avoir trouvé plus de 2 000 domaines de raccourcissement de liens malveillants se terminant par .US enregistrés depuis octobre 2023 jusqu’à NomSilo qui ont en quelque sorte contourné les exigences de transparence pour l’usTLD et se sont convertis en enregistrements privés.
« Grâce à notre propre expérience avec NameSilo, il n’est pas possible de sélectionner un enregistrement privé pour les domaines dans l’usTLD via leur interface », a écrit Infoblox. « Et pourtant, c’était fait. Sur le total des domaines avec des enregistrements privés, plus de 99 % ont été enregistrés auprès de NameSilo. Pour le moment, nous ne sommes pas en mesure d’expliquer ce comportement.
NomSilo PDG Kristaps Ronka a déclaré que la société répondait activement aux rapports sur les domaines abusifs, mais qu’elle n’avait vu aucun rapport d’abus lié aux conclusions d’Infoblox.
« Nous supprimons des centaines, voire des milliers de domaines, dont beaucoup de manière proactive pour lutter contre les abus », a déclaré Ronka. « Notre taux d’abus actuel sur abuseIQ, par exemple, est actuellement de 0 %. AbuseIQ reçoit des rapports d’innombrables sources et nous n’avons pas encore vu ces rapports d’abus « Puma ».
Les experts qui suivent les domaines associés aux logiciels malveillants et au phishing affirment que même les fausses informations fournies lors de l’enregistrement sont utiles pour identifier les domaines potentiellement malveillants ou phishing avant qu’ils ne puissent être utilisés à des fins abusives.
Par exemple, lorsqu’il a été enregistré via NameSilo en juillet 2023, le domaine 1ox[.]nous – comme des milliers d’autres – a répertorié son titulaire comme «Leïla Puma » à une adresse postale en Pologne, et l’adresse e-mail [email protected]. Mais d’après DomainTools.comle 1er octobre 2023, ces enregistrements ont été expurgés et cachés par NameSilo.
Infoblox note que la partie nom d’utilisateur de l’adresse e-mail semble être une référence à la chanson du 33 octobre du Pumas noirs, un groupe de soul psychédélique basé à Austin, au Texas. Les Black Pumas ne sont pas vraiment un nom familier, mais ils ont récemment eu une vidéo YouTube populaire qui comportait une reprise de la chanson des Kinks « Strangers », qui comprenait un récit visuel émouvant sur les Ukrainiens cherchant refuge contre l’invasion russe, intitulé « Ukraine Strangers ». De plus, l’adresse e-mail de Leila Puma se trouve chez un fournisseur de messagerie ukrainien.
DomainTools montre que des centaines d’autres domaines malveillants liés à Prolific Puma ont déjà été enregistrés via NomCheap à un certain « Josef Bakhovsky » à une autre adresse en Pologne. Selon ascendance.comla version anglicisée de ce nom de famille – Bakovski – est le nom traditionnel d’une personne de Bakowce, maintenant connue sous le nom de Bakivtsi et se trouve en Ukraine.
Cette éventuelle connexion polonaise et/ou ukrainienne peut ou non nous dire quelque chose sur le « qui » derrière ce service de raccourcissement de liens, mais ces détails sont utiles pour identifier et regrouper ces domaines courts malveillants. Cependant, même cette maigre visibilité sur les données d’enregistrement .US est désormais menacée.
La NTIA a récemment publié une proposition cela permettrait aux bureaux d’enregistrement de supprimer toutes les données des titulaires des enregistrements d’enregistrement WHOIS pour les domaines .US. Un large éventail de groupes industriels ont a déposé des commentaires s’opposant aux changements proposésaffirmant qu’ils menacent de supprimer les derniers vestiges de responsabilité pour un domaine de premier niveau déjà envahi par l’activité de cybercriminalité.
Burton d’Infoblox affirme que Prolific Puma est remarquable car ils sont capables de faciliter des activités malveillantes depuis des années tout en passant largement inaperçus dans le secteur de la sécurité.
« Cela montre à quel point l’économie criminelle peut être persistante au niveau de la chaîne d’approvisionnement », a déclaré Burton. « Nous regardons toujours la page finale des logiciels malveillants ou du phishing, mais ce que nous constatons ici, c’est qu’il existe cette couche intermédiaire d’acteurs de menace DNS qui persistent pendant des années sans préavis. »
Le rapport complet d’Infoblox sur Prolific Puma est ici.
