Tehdit aktörleri, rahatsız edici bir gelişme olan siber güvenlik sektöründen sömürülmelerini önemli ölçüde artırdılar. İspanya’nın ülke kodu TLD, ES, kimlik kimlik avı saldırılarını planlamak için kullanılır.
Cofense Intelligence’ın son bulgularına göre, .es TLD alanlarının kötüye kullanılması, 4 2024’ten Q1 2025’e kadar şaşırtıcı bir 19 kat artarak Ocak ve Mayıs 2025 arasında kötü niyetli faaliyetler için en çok istismar edilen üçüncü TLD’ye itti.
Bu dramatik artış, ilk 10 sıralamada yaygın olarak istismar edilen diğer TLD’leri yerinden etti ve .es etki alanları artık kötü niyetli kampanyalarda .DEV’den iki kat daha sık görünüyor.
2025’te .es tld istismarının meteorik yükselişi
Eğilim öncelikle kimlik avı e-postalarına veya eklerine gömülü birinci aşama URL’lerde ve kimlik avı sayfalarını barındıran veya veri açığa vurmayı kolaylaştıran ikinci aşama URL’lerde ortaya çıkıyor ve ikincisi en önemli artışı gösteriyor.

Teknik nüanslara daha derinlemesine giren .es TLD istismarındaki artış, büyük ölçüde alt alanların stratejik kullanımına atfedilir, genellikle insan yapımı isimlerden ziyade psödo-sinamik olarak üretilen dizeler olarak görünür.
Ocak -Mayıs 2025’e kadar 447.es baz alanında COFENSE ile analiz edilen 1.373 alt alandan% 99’unun üzerinde, kimlik avı ile ilişkilendirilmiş olan, ağırlıklı olarak Microsoft’un diğer TLD’ler kullanılarak kampanyalardan% 10 daha yüksek bir oranını oluşturan Microsoft.
Adobe ve Google gibi diğer markalar daha küçük kesirlerde ortaya çıktı, bu da .es TLD istismarının, belirli tercihlere sahip tekil bir tehdit aktör grubunun çalışması değil, farklı siber suçlu topluluklarda kabul edilen yaygın bir taktik olduğunu gösteriyor.

Taktiklerde değişim
Bu alt alanlarda barındırılan kimlik avı sayfaları, sıklıkla Cloudflare Turnstile Captchas tarafından korunan iyi tasarlanmış e-postalar ve tam özellikli içerik içeren, genellikle sofistike.
Özellikle, bu kötü niyetli .es alanlarının yaklaşık% 99’u Cloudflare altyapısında barındırıldı ve dağıtım kolaylığı ve platformun istismar şikayetlerine verdiği yanıt hakkında sorular sordu.
Tarihsel olarak, .es TLD kötüye kullanımı, kötü amaçlı yazılım komutu ve kontrol (C2) operasyonları ile daha ilişkiliydi ve Formbook gibi aileler, kötü niyetli trafiği meşru sitelerle harmanlamak için etki alanından yararlandı.
Bununla birlikte, 2025, kimlik bilgisi avına doğru bir pivotu işaret eder ve alt alanlar aldatıcı içerik barındırmak için tercih edilen bir vektör haline gelir.
Temel alanların doğrudan kullanıldığı önceki modellerden farklı olarak, mevcut dalga, bir meşruiyet kaplamasını korurken tespitten kaçınmak için tasarlanmış “AG7SR.fjlabpkgcuo.es” gibi görünüşte rastgele alt alan dizeleriyle eşleştirilmiş ulaşılamaz baz alanlarını görür.
Mart 2025’te gözlemlenen kampanyalar, çeşitli temalar sergiledi, ancak sürekli olarak “satıcı güncellemesi, eylem gerekli eylem” veya “makbuz onaylayın: Sesli mesaj 0972’den sesli mesajı taşıyan e -postalara yerleştirilmiş ikna edici kimlik avı sayfalarıyla tutarlı bir şekilde hedeflendi.
Bu, mağdur katılımını en üst düzeye çıkarmayı amaçlayan bir sosyal mühendislik sofistike düzeyini gösterir.
.Es, geçmiş kayıt kısıtlamaları nedeniyle TLD’lerin kapsamlı meşru etki alanı geçmişinden yoksun tehdit ortamında yükselmeye devam ettikçe, siber güvenlik profesyonelleri, bu gelişen tehdit vektörünün ele alınması ve bulutflar-barındırıcı kimlik avıfatürünün izlenmesini vurgulamak için tespit mekanizmalarını uyarlamalıdır.
Özel Web Semineri Uyarısı: Gelişmiş API Güvenliği İçin Intel® İşlemci Yeniliklerini Koşullandırma – Ücretsiz Kayıt