Bilgisayar korsanları, çok sayıda aldatıcı veya kötü amaçlı alan adı oluşturarak ve bağlantıların gerçek hedefini gizlemek için URL kısaltıcıları kullanarak Massive Domain Generator ve URL Shortener hizmetlerinden yararlanabilir.
Bu, aşağıdaki yasa dışı amaçlar için kullanılabilir: –
- Kimlik avı saldırıları
- Kötü amaçlı yazılım yaymak
- Şüphelenmeyen kullanıcıları kötü amaçlı web sitelerine yönlendirmek
- Saldırıların kaynağının izlenmesini zorlaştırıyor
Yakın zamanda Infoblox’taki siber güvenlik analistleri, “Prolific Puma Service” adı verilen devasa bir alan adı oluşturucu ve URL kısaltıcı hizmetini ortaya çıkardı.
Alan Adı Oluşturucu ve URL Kısaltıcı
2023 yılında 8 trilyon dolarlık siber suç ekonomisi dünya çapında üçüncü sırada yer alacak. Puma, aşağıdaki amaçlar için aldatıcı alan adları (RDGA) oluşturarak bu ağa yardımcı olur: –
- Bağlantı kısaltma
- Kimlik avına yardım
- Dolandırıcılıklar
- Kötü amaçlı yazılım yayılması
Üretken Puma Hizmetini kesintiye uğratmak, çok sayıda aldatıcı etki alanı oluşturdukları ve kötü niyetli aktörlerin bağlantılarını kısaltarak eylemlerini gizledikleri için suç ekonomisine sert darbe vurmak anlamına gelir.
Bu bulgu, tehditleri tespit etmek için DNS verilerini kullanmanın gücünü vurgulamaktadır. Prolific Puma’nın DNS aracılığıyla takip edilmesi, alan adı yetkililerinin kötüye kullanımı kontrol etme konusunda zorluk yaşadığını gösteriyor.
Suçtan uzaklık, yayından kaldırma işlemlerini yönlendirebilir ve araştırmacılar, Puma alan adlarını ilk olarak altı ay önce RDGA tespiti yoluyla tespit etti.
Prolific Puma, tehdit aktörleri için gizli bağlantı kısaltma olanağı sunuyor ve aktif bir SLD’ye doğrudan erişim şu mesajı veriyor: –
- {“type”: “service”,”name”:”@link-shortener/handler-service”}
Bağlantı kısaltıcılar, web bağlantısı paylaşımını basitleştirir ve sosyal medya boyut sınırlarının üstesinden gelir. Bir kullanıcı tıkladığında, bir DNS isteği, Tinyurl gibi kısaltma hizmetinin IP’sini çözer.[.]com.
Web isteği, yeniden yönlendirilecek bir karma içerir ve ek DNS sorguları, içeriğin IP’sini bulur. Meşru kullanıcılar bağlantıları kısaltır, ancak kötü niyetli aktörler karmaşık yeniden yönlendirme katmanlarını kullanabilir.
TinyURL, BitLy ve Google gibi bağlantı kısaltıcıların kötü amaçlı kullanımı kimlik avı için yaygındır. Şirketler e-postalarda popüler kısaltıcılardan uzak durmalıdır. Üretken Puma’nın hizmetleri sade kaldı.
Tam URL olmadan nihai açılış sayfası belirlenemeyeceğinden, bağlantı kısaltıcıları araştırmak zordur. Kamuya açık olmayan şüpheli alan adlarının tespit edilmesi, bunların kullanımıyla ilgili soruları gündeme getiriyor.
Prolific Puma, Mayıs 2023’ten bu yana usTLD kurallarını ihlal ederek binlerce usTLD alan adını kaydettirdi. UsTLD kötüye kullanımıyla biliniyor ve çoğunlukla kayıt şirketi NameSilo olmak üzere gizlilik sorunları devam ediyor.
usTLD’ye özel kayıt yetkisizdir ancak mevcuttur ve DNS tehditleriyle mücadele etmek için işbirliği gereklidir.
Tehdit aktörleri, taktiklerinde benzersiz özellikler gösteriyor ve bir DNS tehdit aktörü olan Prolific Puma, daha az tanınan grup Black Pumas’ın belirsiz ’33 Ekim’ şarkısına e-posta referansı içeren özel kayıt ancak herkese açık usTLD alan adlarını kullanıyor.
Aynı gruba gönderme yapan ve kişisel Ukrayna e-postasıyla gizemli bir dokunuş katan ‘Leila Puma’ adını da benimsiyorlar.
Faaliyet Göstergeleri
Prolific Puma bağlantı kısaltıcı alanı:
- higmi[.]iletişim
- yyds[.]dır-dir
- 0cq[.]biz
- 4cu[.]biz
- Kayıt[.]bilgi
- u5’ler[.]biz
- 1 Jb[.]biz
- jrbc[.]bilgi
- kulaklar[.]Ben
- 0md[.]biz
- fh3[.]biz
- 0[.]biz
- 9jw[.]biz
- iv0[.]biz
- od9[.]biz
- rpzp[.]Ben
- 8fx[.]biz
- 3vb[.]biz
- r1u[.]biz
- geriye kalan[.]bağlantı
- 9ow[.]biz
- sf8i[.]biz
- bu9[.]biz
- ce2[.]biz
- wf6[.]biz
- v8z[.]biz
- zj4[.]biz
- rvb[.]bağlantı
- fssu[.]bağlantı
- xbsf[.]bağlantı
- eeee[.]bağlantı
- ymql[.]bağlantı
- 7tz[.]biz
- w6q[.]biz
- kıkırdama[.]Ben
- u3q[.]biz
- 0’a[.]biz
- v1u[.]biz
- ti7[.]biz
- 2 zc[.]biz
- gf6[.]biz
- 6 gün[.]biz
- 6veya[.]biz
- kc0[.]biz
- 0ty[.]biz
- styi.info
- 6fe[.]biz
- u8n[.]biz
- d6’lar[.]biz
Bağlantı kısaltıcı barındırma IP’leri:
- 45[.]32[.]147[.]158
- 62[.]3[.]15[.]55
- 45[.]32[.]212[.]77
- 149[.]248[.]2[.]42
Yönlendirme ve açılış sayfaları:
- siyah[.]Ben
- ve bu kadar[.]iletişim
- asdbola[.]iletişim
- oyun.co[.]için
Tarayıcı eklentisi kötü amaçlı yazılım alanları:
Prolific Puma kayıt e-posta adresi:
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Bir dene ücretsiz deneme % 100 güvenlik sağlamak için.