Infoblox Inc., compañía especializada en ciberseguridad y gestión de servicios core de red a través de plataformas cloud, ha anunciado la detección de un agente de malware dedicado a generar nombres de dominio mediante RDGA (algoritmo de generación de dominios registrados) y utilizarlos para proporcionar un servicio de acortamiento de URLs a otros actores, que los utilizan para evitar ser detectados mientras realizan actividades maliciosas como phishing, estafas y generar otros tipos de malware.
Este malware, que Infoblox ha denominado Prolific Puma, ha pasado inadvertido hasta el momento, y se estima que lleva operando al menos durante al menos los últimos cuatro años. Su descubrimiento no se ha realizado mediante seguimiento de agentes de malware o sitios de phishing, sino a través de análisis de DNS. Como comenta Juan de la Vara, Senior Manager Solution Architect del Sur de Europa de Infoblox, “este descubrimiento demuestra las ventajas de utilizar DNS y datos de registro de dominios no sólo para detectar actividades sospechosas, sino también para reunir toda esa información y obtener una visión completa de cómo actúan las amenazas a través de DNS. La detección de este actor malicioso pone de manifiesto los retos a los que se enfrentan las empresas y las organizaciones responsables de registros de dominios para controlar los usos fraudulentos del sistema”.
Elementos clave del modus operandi de Prolific Puma
- Ofrece a los delincuentes un servicio de acortamiento de enlaces en segundo plano. Este servicio no se publicita abiertamente como lo hacen otros servicios de acortamiento de URLs. El enlace acortado redirige la petición hacia este agente que a su vez la redirige a un sitio malicioso. En todo el proceso, DNS se ve involucrado al menos dos veces para completar el ciclo del ataque. El redireccionamiento no sigue siempre el mismo patrón. A veces el link acortado va directamente a un sitio malicioso, pero lo habitual es que atraviese múltiples capas de redireccionamiento antes de alcanzar la landing page de destino, e incluso utilice servicios secundarios de acortamiento legítimos.
- Prolific Puma no es el único servicio de acortamiento de enlaces ilícitos descubierto, pero sí el más grande y dinámico. Controla una de las redes más grandes que se han detectado y se estima que desde abril de 2022 ha registrado entre 35.000 y 75.000 nombres de dominio únicos. El uso de RDGA permite automatizar fácilmente la generación de dominios y realizar las operaciones a escala.
- Ayuda a otros actores maliciosos a impedir la detección, pero además contribuye como agente indirecto a facilitar las actividades maliciosas e impedir la detección de las mismas, no sólo de los actores. Si bien los proveedores de soluciones de seguridad pueden identificar y bloquear el contenido final, si no cuentan con una visión más amplia de todo el ciclo de vida de la amenaza es difícil ver el alcance completo de la actividad y asociar los dominios bajo un único actor de amenazas DNS.
- Los dominios generados por Prolific Puma son alfanuméricos, pseudoaleatorios, con longitud variable, normalmente de 3 o 4 caracteres, pero también hemos observado etiquetas SLD de hasta 7 caracteres.
- Hace un uso fraudulento del sistema de nombres de dominio de nivel superior estadounidense (usTLD), un sistema en principio reservado para ciudadanos y organizaciones de este país. Durante los últimos 18 meses, Prolific Puma ha utilizado NameSilo un proveedor de alojamiento y nombres de dominio de bajo coste, para realizar los registros. Este proveedor es frecuentemente utilizado por parte de actores maliciosos.
“Prolific Puma es una muestra de cómo se puede utilizar fraudulentamente DNS para llevar a cabo actividades delictivas sin ser detectado durante años. Como parte de toda la cadena de una ciberamenaza, este actor es más difícil de detectar y derrotar. Además, al utilizar RDGA y empresas de registro de dominios de bajo coste, resulta muy fácil escalar las operaciones. Los sistemas de seguridad tradicionales protegen al usuario basándose en el sitio de destino final al que lleva un enlace, por lo que no son capaces de detectar esta amenaza. En cambio, los sistemas de detección y respuesta de DNS si son eficaces frente a amenazas como Prolific Puma, creando así dificultades a los actores que dependen de estos servicios para realizar sus ataques o difundir malware”, concluye Juan de la Vara.
Más información en: https://blogs.infoblox.com/cyber-threat-intelligence/prolific-puma-shadowy-link-shortening-service-enables-cybercrime/