Haker poznat kao Prolific Puma održava nizak profil i upravlja underground servisom skraćivanja veza koja se nudi drugim hakerima najmanje posljednje četiri godine.
Prolific Puma kreira “imena domena s RDGA [algoritmom za generisanje registrovanih domena] i koristi te domene za pružanje usluge skraćivanja linkova drugim zlonamjernim hakerima, pomažući im da izbjegnu otkrivanje dok distribuišu phishing, prevare i malver”, navodi Infoblox u novoj analizi sastavljenoj iz analitike Domain Name System-a (DNS) .
Uz zlonamjerne hakere za koje je poznato da koriste skraćivače veza za phishing napade, protivnik igra važnu ulogu u lancu snabdijevanja kibernetičkog kriminala, registrujući između 35.000 i 75.000 jedinstvenih imena domena od aprila 2022. Prolific Puma je također DNS haker zbog korištenja DNS infrastrukture za zlonamjerne svrhe.
Značajan aspekt aktivnosti hakera je korištenje američkog registratora domena i kompanije za web hosting pod imenom NameSilo za registraciju i servere imena zbog njegove pristupačnosti i API-ja koji olakšava masovnu registraciju.
Prolific Puma, koja ne reklamira svoju uslugu skraćivanja na podzemnim tržištima, takođe je primijećen kako pribjegava strateškom starenju kako bi parkirao registrovane domene nekoliko sedmica prije nego što je hostovao svoju uslugu kod anonimnih provajdera.
„Prolific Puma domeni su alfanumerički, pseudo-slučajni, promjenjive dužine, tipično dugi 3 ili 4 znaka, ali smo također primijetili SLD oznake duge čak 7 znakova,“ objasnio je Infoblox.
Nadalje, haker je registrovao hiljade domena u američkom domenu najvišeg nivoa (usTLD) od maja 2023. godine, više puta koristeći adresu e-pošte koja sadrži referencu na pjesmu OCT 33 psihodeličnog soul benda Black Pumas : blackpumaoct33@ukr[ .]net.
Identitet i porijeklo Prolific Pume u stvarnom svijetu još uvijek su nepoznati. Međutim, kaže se da višestruki hakeri koriste ovu ponudu da odvedu posjetioce na phishing i scam stranice, CAPTCHA izazove, pa čak i druge skraćene linkove koje kreira drugi servis.
U jednom slučaju phishing-cum-malware napada koji je dokumentirao Infoblox, žrtve koje kliknu na skraćeni link se odvode na odredišnu stranicu koja od njih traži da dostave lične podatke i izvrše plaćanje, te na kraju zaraze svoje sisteme browser plugin malverom.
Ovo otkriće dolazi nekoliko sedmica nakon što je kompanija razotkrila još jednog upornog DNS hakera kodnog imena Open Tangle koji koristi veliku infrastrukturu sličnih domena legitimnih finansijskih institucija kako bi ciljao potrošače za phishing i smishing napade.
“Prolific Puma pokazuje kako se DNS može zloupotrijebiti za podršku kriminalnim aktivnostima i ostati neotkriven godinama”, navodi se.
Kopeechka alat za hakovanje preplavljuje online platforme lažnim nalozima
Razvitak također prati novi izvještaj Trend Micro-a, koji je otkrio da manje kvalifikovani sajber kriminalci koriste novi alat pod nazivom Kopeechka (što na ruskom znači “peni”) za automatizaciju kreiranja stotina lažnih naloga na društvenim mrežama u samo nekoliko sekundi.
“Usluga je aktivna od početka 2019. i pruža jednostavne usluge registracije naloga za popularne platforme društvenih medija, uključujući Instagram, Telegram, Facebook i X (bivši Twitter)”, rekao je istraživač sigurnosti Cedric Pernet.
Kopeechka nudi dvije vrste različitih adresa e-pošte za pomoć u procesu masovne registracije: adrese e-pošte koje se nalaze na 39 domena u vlasništvu hakera i one koje se nalaze na popularnijim servisima za hosting e-pošte kao što su Gmail, Hotmail, Outlook, Rambler i Zoho Mail.
„Kopeechka zapravo ne omogućava pristup stvarnim poštanskim sandučićima“, objasnio je Pernet. “Kada korisnici zatraže poštanske sandučiće za kreiranje naloga na društvenim mrežama, dobiju samo referencu adrese e-pošte i specifičnu e-poštu koja sadrži kod za potvrdu ili URL.”
Sumnja se da su ove adrese e-pošte ili kompromitovane ili da su ih kreirali sami Kopeechka hakeri.
Sa onlajn uslugama koje uključuju verifikaciju telefonskog broja za završetak registracije, Kopeechka omogućava svojim korisnicima da biraju između 16 različitih onlajn SMS usluga, od kojih većina potiče iz Rusije.
Osim ubrzavanja sajber kriminala i opremanja hakera za pokretanje punopravnih operacija u velikim razmjerima, takvi alati – stvoreni kao dio poslovnog modela „kao usluga“ – ističu profesionalizaciju kriminalnog ekosistema.
„Kopeechkine usluge mogu olakšati jednostavan i pristupačan način za masovno kreiranje naloga na mreži, što bi moglo biti od pomoći sajber kriminalcima“, rekao je Pernet.
„Dok se Kopeechka uglavnom koristi za kreiranje više naloga, mogu je koristiti i sajber kriminalci koji žele dodati određeni stepen anonimnosti svojim aktivnostima, jer ne moraju da koriste nijednu od svojih adresa e-pošte za kreiranje naloga na platformama društvenih medija.”
Izvor: The Hacker News