Киберпреступники нашли новый хаб. Cloudflare приютил хакерскую республику в .es

В последние полгода специалисты фиксируют резкий рост активности злоумышленников, использующих домены зоны .es для проведения вредоносных кампаний. За это время количество подобных случаев увеличилось почти в 19 раз, что сделало домен Испании третьим по популярности среди киберпреступников — сразу после .com и .ru.

Как пояснили в компании Cofense, массовая эксплуатация доменов .es началась в январе этого года, а к маю на 447 базовых доменах этой зоны было зарегистрировано уже 1373 поддомена, с которых распространяются вредоносные страницы. Почти все эти ресурсы предназначены для фишинга, то есть кражи учётных данных пользователей. Лишь 1% из них задействован для распространения удалённых троянов доступа (RAT), таких как ConnectWise RAT, Dark Crystal и XWorm.

Распространение вредоносных программ осуществляется либо через управляющие серверы, либо через поддельные письма от известных компаний. Почти в 95% случаев злоумышленники маскируются под Microsoft, что неудивительно, учитывая масштаб и популярность этого бренда. Сами письма зачастую тщательно проработаны и оформлены под рабочие запросы — например, сообщения от отдела кадров или просьбы предоставить документы. Такой подход делает их особенно убедительными.

Стоит отметить, что адреса доменов, на которых размещаются поддельные страницы, в большинстве случаев генерируются случайным образом. Это, по мнению специалистов, облегчает выявление подобных сайтов: их адреса не похожи на имена реальных компаний или организаций, что снижает эффект от так называемых атак типа «тайпсквоттинг» (использование адресов, похожих на настоящие).

Примеры таких доменов выглядят следующим образом:

• ag7sr[.]fjlabpkgcuo[.]es

• gymi8[.]fwpzza[.]es

• md6h60[.]hukqpeny[.]es

• shmkd[.]jlaancyfaw[.]es

Почему именно зона .es стала столь привлекательной для злоумышленников, Cofense не уточняет. Однако известно, что, помимо доменов .com и .ru, выбор других зон варьируется от квартала к кварталу. При этом домены европейских стран, включая Испанию, традиционно считаются одними из наименее подверженных злоупотреблениям. Это связано с более жёсткими правилами регистрации и отсутствием массовых продаж таких доменов, что затрудняет их закупку преступниками в больших объёмах.

Тем не менее, аналитики подчёркивают: ситуация с доменами .es демонстрирует, что даже более защищённые доменные зоны могут стать инструментом в руках злоумышленников. Важно, что злоупотребление доменами .es, по их наблюдениям, не связано с какой-то отдельной группой атакующих. Речь идёт о распространённой практике, к которой прибегает сразу большое количество преступников с разными целями и качеством кампаний.

Общий признак почти всех зафиксированных вредоносных сайтов — их размещение на инфраструктуре Cloudflare. Помимо этого, на многих фишинговых страницах применяются капчи, что затрудняет автоматическую проверку сайтов. Специалисты считают, что скорость развёртывания сайтов через Cloudflare, могли поспособствовать популярности сервиса у киберпреступников. Также остаются вопросы к тому, насколько строго Cloudflare подходит к жалобам на подобные злоупотребления.