Американские домены .US как инкубатор фишинга и вредоносного ПО

Исследование компании Infoblox раскрыло, что домен верхнего уровня США (Top-Level Domain, TLD) — .US — стал площадкой для регистраций тысяч новых доменов, связанных с вредоносной службой сокращения ссылок, которая используется в целях мошенничества и распространения вредоносного ПО. Отчёт последовал сразу за докладом, указывающим на домены .US как на одни из самых распространённых в фишинговых атаках за прошедший год.

Исследователи из Infoblox отслеживали службу сокращения ссылок, существующую уже 3 года. Было установлено, что мошеннические домены обычно имеют длину от 3 до 7 символов и размещены на пуленепробиваемых хостингах (Bulletproof Hosting, BPH), которые игнорируют любые жалобы на контент или правовые претензии. Сокращённые домены сами по себе контент не хостят, но используются для сокрытия настоящего адреса фишинговых сайтов-лендингов, предназначенных для обмана пользователей или установки вредоносного ПО.

Схема работы сервиса сокращения ссылок

Как продвигаются вредоносные страницы – пока неясно, но есть подозрение, что это происходит в основном через SMS-мошенничество. Infoblox смогла проследить контуры сервиса благодаря псевдослучайным паттернам в коротких доменах, которые на первый взгляд кажутся бессмысленной смесью букв и цифр. Для этого использовалась система обнаружения регистрации с помощью алгоритмов генерации доменных имен.

Службу сокращения ссылок исследователи назвали «Prolific Puma» и определили, что до мая 2023 года новые регистрации вредоносных доменов с помощью Prolific Puma в основном проходили через домены .info. С тех пор было выявлено, что ответственные за службу используют .US для регистрации 55% доменов от общего числа созданных имён, при этом ежедневно регистрируются десятки новых вредоносных доменов .US.

.US контролируется Национальным управлением по телекоммуникациям и информации (National Telecommunications and Information Administration, NTIA). Но долгое время управление доменами .US было передано различным частным компаниям, которые постепенно позволили главному домену США превратиться в болото фишинговой деятельности.

К такому выводу пришла консалтинговая группа Interisle, которая опубликовала ежегодный отчет о последних тенденциях фишинга. Еще в 2018 году Interisle установила, что домены .US являются «первыми в мире» по количеству спама, ботнетов и незаконного или вредоносного контента.

В своем последнем исследовании, которое рассматривало 6 миллионов сообщений о фишинге с 1 мая 2022 по 30 апреля 2023 года, Interisle определила около 30 000 фишинговых доменов .US. Было установлено, что значительное количество доменов .US было зарегистрировано для атак на некоторые из самых известных компаний США, в том числе Bank of America, Amazon, Apple, AT&T, Citi, Comcast и Microsoft. Другие использовались для имитации или атак на госструктуры США.

Согласно правилам NTIA, регистраторы доменов, обрабатывающие регистрации доменов .US, должны предпринимать определенные шаги для подтверждения того, что их клиенты действительно проживают в США или владеют организациями, базирующимися в США.