De acordo com o relatório da Cybersecurity Ventures, o crime cibernético infligiu um dano que totaliza US$ 6 trilhões, tornando-o a terceira maior economia do mundo, depois dos EUA e da China. E o Puma Prolífico faz parte da cadeia de abastecimento, no qual são criados nomes com um algoritmo de geração de domínio registrado (RDGA), utilizados para fornecer um serviço de encurtamento de links a outros agentes maliciosos, ajudando-os a evitar a detecção enquanto distribuem phishing, golpes e malware.
O Puma Prolífico gera algoritmicamente grandes volumes de domínios e, em seguida, utiliza esses domínios para gerar links encurtados para ataques maliciosos, permitindo-lhes ocultar sua verdadeira atividade. Este ciberataque conseguiu facilitar atividades maliciosas por mais de 18 meses, passando despercebido pela indústria de segurança com uma enorme coleção de nomes de domínio, capazes de evitar detecção e distribuir tráfego malicioso.
Isto apenas reforça o poder do uso de dados de DNS e de registro de domínio, não apenas para detectar atividades suspeitas, mas também para reunir essas informações em uma visão consolidada de uma ameaça.
Encurtamento de links sombrios
Os encurtadores de links têm como objetivo facilitar o compartilhamento de links de sites, bem como seguir as limitações de tamanho das mídias sociais. No entanto, o Puma Prolífico fornece um serviço de encurtamento de links maliciosos para criminosos. Assim, quando o usuário clicar no link encurtado, ele será redirecionado para outra URL. Embora os usuários legítimos criem um link encurtado simples para compartilhar, um ator mal-intencionado pode usar várias camadas de redirecionamento antes da página de destino final.
Sabe-se que estes cibercriminosos abusam de encurtadores de links para phishing. Nos casos mais divulgados, entretanto, os encurtadores são serviços bem conhecidos e disponíveis publicamente, incluindo TinyURL, BitLy e Google. Esse abuso é tão generalizado que a empresa de marketing Rebrandly recomenda que empresas legítimas evitem usar encurtadores populares em seus e-mails.
A Puma Prolífica não anuncia abertamente seus serviços. E sem um URL completo não é possível determinar a página de destino final. Evidências sugerem que o Puma Prolífico esteja prestando serviço a vários hackers, e que os links encurtados são entregues principalmente às vítimas por meio de mensagens de texto, mas podem também ser utilizados, por exemplo, nas redes sociais e na publicidade.
Embora os fornecedores de segurança possam identificar e bloquear o conteúdo final, sem uma visão mais ampla é difícil ver todo o âmbito da atividade e associar os domínios sob um único ator de ameaça ao DNS.
Características de detecção e nome de domínio
Segundo a Infoblox, o Puma Prolífico controla uma das maiores redes. Desde abril de 2022, eles registraram entre 35 mil e 75 mil nomes de domínio exclusivos. Os RDGA têm substituído cada vez mais os DGA tradicionais e oferecem novos desafios aos defensores.
Nos últimos 18 meses, o Puma Prolífico usou nomes de domínios e provedores de hospedagem baratos. Além do preço acessível, utilizaram uma API, o que facilita o registro em massa tanto por usuários legítimos quanto por criminosos. Para registrar um domínio, é preciso apenas de um endereço de e-mail e uma forma de pagamento.
Para configurar, o registrante deve fornecer um nome, endereço físico e número de telefone, mas estes não são verificados e os registros WHOIS relacionados não são atualizados automaticamente. Sem atualização, apenas o endereço de e-mail associado à compra estará disponível publicamente. Dessa forma, todo esse processo pode ser concluído com dados falsos, e o domínio pode ser pago com bitcoin, permitindo que os agentes da ameaça abusem do serviço sem muita dificuldade.
Operações do Puma Prolífico
Após o registro de um domínio, o Puma Prolífico muitas vezes o deixa sem uso ou estacionado por várias semanas. Esta técnica é conhecida como envelhecimento estratégico. Como os ataques de phishing estão tradicionalmente ligados a domínios recentemente registrados, muitos sistemas de segurança vão bloquear o acesso aos mesmos. Em resposta, os agentes de ameaças perceberam que, ao envelhecê-los, poderiam contornar diversas proteções de segurança.
Um pequeno número de consultas DNS será feito durante o processo de envelhecimento, método utilizado pelos hackers para ganhar reputação para os nomes de domínio. O Puma Prolífico, então, transfere-os para provedores de hospedagem à prova de balas, adquiridos usando bitcoin, em um servidor virtual privado (VPS) com um endereço IP. Depois de algum tempo, abandonam os domínios, deixando o registro DNS apontando para o IP.
O link levará a uma página de phishing projetada para parecer um e-mail, solicitando que o usuário forneça detalhes pessoais e faça um pagamento, infectando o usuário com malware de plug-in de navegador. O URL abreviado original pode ser entregue à vítima por meio de uma mensagem de texto SMS, pois abre uma mensagem falsa do Gmail. Os domínios utilizados durante a exploração da vítima mudam e fazem parte de uma grande rede. Esta campanha utiliza uma variedade de técnicas para garantir à vítima que a oferta é genuína, incluindo um fluxo ativo de análises de depoimentos de outros “destinatários” a cada passo.
Esta é uma demonstração de como o DNS pode ser utilizado de forma abusiva para apoiar atividades criminosas e permanecer sem ser detectado durante anos. Ao usar um RDGA e registradores de domínio baratos, o Puma Prolífico é capaz de dimensionar e persistir em suas operações. Mas, ao mesmo tempo, é possível detectar o uso de um RDGA por meio de DNS e registros de domínio.
O Puma Prolífico é apenas uma das diversas operadoras de encurtadores de links, um tipo de serviço encontrado na economia paralela. Dessa forma, é crucial que o mercado esteja alerta aos métodos utilizados por estes criminosos, haja vista que, ao bloquear o acesso a domínios suspeitos, as organizações podem implementar uma política altamente eficaz, de baixo risco e alta segurança para a sua rede e utilizadores, garantindo assim a mitigação dos riscos de um ataque.
*Por Sandro Tonholo, country manager Brasil da Infoblox.
