Hizmet olarak siber suç, Dolandırıcılık Yönetimi ve Siber Suç
Araştırmacılar, Bilgisayar Korsanları, Kimlik Avcıları ve Dolandırıcılar Tarafından Kullanılan ‘Üretken Puma’ Hizmetini Keşfediyor
Mathew J. Schwartz (euroinfosec) •
31 Ekim 2023
Hiçbir siber suçlu tek başına ayakta kalamaz. Kâr odaklı bilgisayar korsanları, saldırıları planlamak, yürütmek ve bunlardan kâr elde etmek için araçlar ve hizmetler sağlayan bir siber suç ekosistemi tarafından desteklenmektedir.
Ayrıca bakınız: Güvenlik Operasyon Merkezini Modernleştirmeye Yönelik 5 İpucu
Bu tür yeraltı hizmetlerinden biri, kimlik avı saldırılarını ve çevrimiçi dolandırıcılıkları kolaylaştırmak ve tarayıcılara kötü amaçlı yazılım dağıtmak için suçlulara bağlantı kısaltma olanağı sunuyor.
Güvenlik araştırmacıları hizmete “Prolific Puma” kod adını verdiler. Bunu, bazı dolandırıcılar ve kimlik avcıları tarafından kullanılan ve ortak bir kaynağı takip ediyor gibi görünen bağlantılardaki kalıpları tespit ederek keşfettiler. Hizmetin en az 2020’den beri aktif olduğu görülüyor ve bazen ilk olarak diğer bağlantı kısaltma hizmeti URL’leri aracılığıyla kurbanları kötü amaçlı alanlara yönlendirmek için düzenli olarak kullanılıyor.
Infoblox’un tehdit istihbaratı kıdemli direktörü Renee Burton, siber suç hizmetiyle ilgili yeni bir raporda, “Prolific Puma, keşfettiğimiz tek yasa dışı bağlantı kısaltma hizmeti değil, aynı zamanda en büyüğü ve en dinamik olanı” dedi. “Kısaltıcıları aracılığıyla sunulan herhangi bir meşru içerik bulamadık.”
Santa Clara, California merkezli bir BT otomasyon ve güvenlik şirketi olan Infoblox, Prolific Puma’nın saldırılarına bağladığı 60 URL’den oluşan bir liste yayınladı. URL’ler şu gibi alanları kullanır: hygmi.com, yyds.is, 0cq.us, 4cu.us Ve regz.information.
Infoblox, grup tarafından kaydedilen birçok alan adının kullanım sırasında birkaç hafta boyunca park edildiğini, çünkü birçok itibara dayalı güvenlik savunmasının yeni kaydedilen alan adlarını kötü amaçlı olma olasılığı daha yüksek olarak ele alacağını söyledi.
Burton, Prolific Puma kullanılarak kısaltılan bağlantıların mağdurlara nasıl iletildiğinin net olmadığını söyledi. “Orijinal kısaltılmış URL’nin kurbana nasıl iletildiğini bilmiyoruz; sahte bir Gmail mesajı açtığı göz önüne alındığında, bu bir SMS mesajı aracılığıyla olabilir” dedi. “Kurbanın istismarı sırasında kullanılan alanlar değişiyor ve kendileri de büyük bir ağın parçası oluyor.”
Infoblox’un bildirdiğine göre, herhangi bir saldırıda suçlular, biri diğerine yönlendiren birden fazla kısaltılmış bağlantı kullanabilir ve bu bağlantılar sonunda bir kimlik avı sayfasına yönlendirebilir. Araştırmacılar tarafından detaylandırılan bir örnek, yepyeni bir iPhone 15 Pro Max’i ücretsiz olarak test etme olanağı sağladığını iddia eden ve tarayıcı tabanlı kötü amaçlı yazılımları kullanıcının sistemine göndermek üzere tasarlanmış kötü amaçlı bir web sayfasına yol açan iletişimleri içeriyordu.
Prolific Puma’nın merkezinin nerede olduğu da net değil, ancak araştırmacılar, grubun yalnızca kamuya açık alanları kaydederken kullandığı verilere dayanarak grup üyelerinin kişilikleri ve meşguliyetleri hakkında ipuçları buldu. Araştırmacılar, bunların arasında Austin, Texas merkezli Amerikalı psychedelic soul grubu Black Pumas’ın 2019 tarihli şarkısı “33 Ekim”e atıfta bulunan bir e-posta adresinin de yer aldığını söyledi. Grup aynı zamanda kayıt yaptıran kişinin adı olarak sıklıkla “Leila Puma”yı (Leila, “gece” anlamına gelen Arapça kökenli bir kız adıdır) ve aynı zamanda Ukraynalı bir tüketici barındırma hizmetine kayıtlı kişisel bir e-posta hesabını ve bir posta adresini kullanıyor. Polonya’da ilkokul.
Ücretsiz Seçenekler
Tüm siber suçlular bağlantı kısaltma hizmetleri için ödeme yapmaz. Sonuçlar farklılık gösterse de birçok meşru hizmet ücretsiz olarak kötüye kullanılabilir.
Web sitesi itibar istihbaratı sağlayıcısı SURBL, verilerine göre bunların en çok suistimal edilen 10 ücretsiz yönlendirici olduğunu söylüyor:
t.cobit.lymq.mbd.baidu.comja2r7.app.goo.gld8hxy.app.goo.gltinyurl.compeg3z.app.goo.glis.gdshorturl.atlin.ee
Bu tür hizmetlerin yaygın şekilde kötüye kullanılması, birçok kuruluşun bunları doğrudan engellemesine, bu tür bağlantıları taşıyan e-postaları önemsiz klasörüne göndermesine veya en azından bu tür bağlantıları iletilerin gövdesinden çıkarmasına yol açtı.
Buna karşılık, bazı suçlular, güvenlik ve istenmeyen posta önleme araçlarının tespit edemediği kısa bağlantılar oluşturmayı vaat eden kötü amaçlı bağlantı kısaltma hizmetlerine para ödüyor.
Infoblox, Prolific Puma bağlantı kısaltma hizmetini çalıştıran aynı suçluların bunu saldırı başlatmak için mi kullandığını yoksa hizmetin üçüncü taraf müşterilere talep üzerine sağlanıp sağlanmadığının açık bir soru olarak kaldığını söyledi.
Kötüye kullanım: ABD TLD’si
Prolific Puma’nın bağlantı kısaltma hizmeti, bu hizmeti kötüye kullanma konusunda çok başarılı görünüyor. .us ABD vatandaşları ve sakinleri ve ülkede yerleşik veya meşru varlığı olan kuruluşlar tarafından kullanımı kısıtlanacak şekilde tasarlanmış üst düzey alan adı. Burton, bunun yerine TLD kullanımının “siber suçlarla boğuştuğunu” söyledi.
Infoblox’un haberine göre Prolific Puma, 4 Ekim’den bu yana “usTLD’nin şeffaflık gerekliliklerini bir şekilde altüst etti ve yaklaşık 2.000 alan adını özel kayıtlara dönüştürdü”.
Infoblox, tüm usTLD adlarının herkese açık olması gerektiğini, yani alan adını kaydeden kişinin adının yanı sıra e-posta adresinin, sokak adresinin ve telefon numarasının da herkese açık olması gerektiğini söyledi.
NameSilo da dahil olmak üzere usTLD adları sunan kayıt şirketleri, kayıtların özel olacak şekilde ayarlanması yasağını uygular; bu, bir alan adının kime ait olduğunu veya onlarla nasıl iletişime geçileceğini belirlemek için Whois hizmeti aracılığıyla herkese açık olarak erişilemeyeceği anlamına gelir.
Öyle olsa bile, Infoblox’un haberine göre Prolific Puma, NameSilo aracılığıyla en az 1.062 alan adı temin etmiş ve bunları özel olarak ayarlamış görünüyor. Bu, NameSilo alan adı kayıt arayüzünün özel ayarlar için bir seçenek bile sunmamasına rağmen. Burton, “Şu anda bu davranışı açıklayamıyoruz” dedi.