Noticias - Actualidad
17 noviembre 2023

INFOBLOX detecta un malware detrás de un servicio de acortamiento de URL’s

Prolific Puma es un actor malicioso que genera nombres de dominio mediante RDGA y puede utilizarlos para proporcionar un servicio de acortamiento de URLs a otros actores maliciosos, que utilizan para evitar ser detectados mientras realizan sus actividades.

Infoblox Inc., compañía especializada en ciberseguridad y gestión de servicios core de red a través de plataformas cloud, ha anunciado la detección de un agente de malware dedicado a generar nombres de dominio mediante RDGA (algoritmo de generación de dominios registrados) y utilizarlos para proporcionar un servicio de acortamiento de URLs a otros actores, que los utilizan para evitar ser detectados mientras realizan actividades maliciosas como phishing, estafas y generar otros tipos de malware.

Este malware, que Infoblox ha denominado Prolific Puma, ha pasado inadvertido hasta el momento, y se estima que lleva operando al menos durante al menos los últimos cuatro años. Su descubrimiento no se ha realizado mediante seguimiento de agentes de malware o sitios de phishing, sino a través de análisis de DNS. Como comenta Juan de la Vara, Senior Manager Solution Architect del Sur de Europa de Infoblox, este descubrimiento demuestra las ventajas de utilizar DNS y datos de registro de dominios no sólo para detectar actividades sospechosas, sino también para reunir toda esa información y obtener una visión completa de cómo actúan las amenazas a través de DNS. La detección de este actor malicioso pone de manifiesto los retos a los que se enfrentan las empresas y las organizaciones responsables de registros de dominios para controlar los usos fraudulentos del sistema”.

Elementos clave del modus operandi de Prolific Puma

  • Ofrece a los delincuentes un servicio de acortamiento de enlaces en segundo plano. Este servicio no se publicita abiertamente como lo hacen otros servicios de acortamiento de URLs. El enlace acortado redirige la petición hacia este agente que a su vez la redirige a un sitio malicioso. En todo el proceso, DNS se ve involucrado al menos dos veces para completar el ciclo del ataque. El redireccionamiento no sigue siempre el mismo patrón. A veces el link acortado va directamente a un sitio malicioso, pero lo habitual es que atraviese múltiples capas de redireccionamiento antes de alcanzar la landing page de destino, e incluso utilice servicios secundarios de acortamiento legítimos.
  • Prolific Puma no es el único servicio de acortamiento de enlaces ilícitos descubierto, pero sí el más grande y dinámico. Controla una de las redes más grandes que se han detectado y se estima que desde abril de 2022 ha registrado entre 35.000 y 75.000 nombres de dominio únicos. El uso de RDGA permite automatizar fácilmente la generación de dominios y realizar las operaciones a escala.
  • Ayuda a otros actores maliciosos a impedir la detección, pero además contribuye como agente indirecto a facilitar las actividades maliciosas e impedir la detección de las mismas, no sólo de los actores. Si bien los proveedores de soluciones de seguridad pueden identificar y bloquear el contenido final, si no cuentan con una visión más amplia de todo el ciclo de vida de la amenaza es difícil ver el alcance completo de la actividad y asociar los dominios bajo un único actor de amenazas DNS.
  • Los dominios generados por Prolific Puma son alfanuméricos, pseudoaleatorios, con longitud variable, normalmente de 3 o 4 caracteres, pero también hemos observado etiquetas SLD de hasta 7 caracteres.
  • Hace un uso fraudulento del sistema de nombres de dominio de nivel superior estadounidense (usTLD), un sistema en principio reservado para ciudadanos y organizaciones de este país. Durante los últimos 18 meses, Prolific Puma ha utilizado NameSilo un proveedor de alojamiento y nombres de dominio de bajo coste, para realizar los registros. Este proveedor es frecuentemente utilizado por parte de actores maliciosos.

“Prolific Puma es una muestra de cómo se puede utilizar fraudulentamente DNS para llevar a cabo actividades delictivas sin ser detectado durante años. Como parte de toda la cadena de una ciberamenaza, este actor es más difícil de detectar y derrotar. Además, al utilizar RDGA y empresas de registro de dominios de bajo coste, resulta muy fácil escalar las operaciones. Los sistemas de seguridad tradicionales protegen al usuario basándose en el sitio de destino final al que lleva un enlace, por lo que no son capaces de detectar esta amenaza. En cambio, los sistemas de detección y respuesta de DNS si son eficaces frente a amenazas como Prolific Puma, creando así dificultades  a los actores que dependen de estos servicios para realizar sus ataques o difundir malware”, concluye Juan de la Vara.

Más información en: https://blogs.infoblox.com/cyber-threat-intelligence/prolific-puma-shadowy-link-shortening-service-enables-cybercrime/

¿Te ha parecido útil este contenido?

 
Más información en: https://www.infoblox.com/
Cloud Cloud Security Cybersecurity

Te puede interesar

SOPHOS: Los hospitales de Cruz Roja en Andalucía reducen su exposición a ciberataques
26 Abr 2024
BITDEFENDER lanza Voyager Ventures para impulsar la innovación
26 Abr 2024
KONICA MINOLTA DOKM: Imagina un futuro más brillante
26 Abr 2024
ALCATEL-LUCENT ENTERPRISE: Éxito en la Cena de Gala del Congreso @aslan
26 Abr 2024
BITDEFENDER advierte que la publicidad maliciosa con temática de IA llega a Facebook
12 Abr 2024
INFOBLOX incorpora herramienta de respuesta rápida a incidencias de seguridad
05 Ene 2024
INFOBLOX: Mukesh Gupta, pionero en seguridad cloud, se incorpora como CPO
01 Sep 2023
INFOBLOX: Decoy Dog se sofistica después de su identificación por Infoblox
28 Jul 2023
INFOBLOX detecta nuevo toolkit de troyanos RAT que utilizan DNS anómalos para tomar el control de los sistemas atacados
19 May 2023
Prevención Predictiva tras los pasos del ciberdelincuente
03 May 2023