I ricercatori di sicurezza informatica di Infoblox hanno scoperto un algoritmo di generazione di domini registrati (RDGA) che aiutava i criminali informatici a eludere il rilevamento e a proporre siti di phishing e malware più facilmente.
L’operazione, soprannominata Prolific Puma, utilizzava un algoritmo di generazione dei domini in blocco, con un sistema per creare “scorciatoie” verso gli stessi che evitassero la segnalazione dei siti Web come potenzialmente pericolosi.
I ricercatori hanno affermato come “Quando abbiamo distrutto Prolific Puma, abbiamo distrutto un segmento ampio dell’economia criminale” a dimostrazione di come questo sistema fosse importante nel contesto del cybercrimine. Gli stessi hanno poi chiarito come “Prolific Puma generava algoritmicamente grandi volumi di domini e poi li utilizza per creare collegamenti abbreviati per altri attori malintenzionati, consentendo loro di nascondere la loro vera attività“.
Prolific Puma: in un solo anno registrati circa 75.000 domini
L’operazione è attiva da almeno quattro anni, ha spiegato ancora Infoblox, ipotizzando che in realtà potrebbe funzionare anche da molto più tempo. La scoperta di questo ingegnoso sistema non è dovuta alla casualità, ma attraverso un’analisi DNS.
Sei mesi fa, alcuni ricercatori che analizzano 70 miliardi di query DNS al giorno, hanno rilevato il sistema RDGA che creava nomi di dominio sfruttati poi dai cybercriminali.
I ricercatori hanno scoperto che in meno di un mese, Prolific Puma è riuscita a registrare migliaia di domini, molti dei quali di primo livello statunitense (usTLD). Dall’aprile dello scorso anno sono stati registrati circa 75.000 nomi di dominio univoci. All’inizio del 2023, Prolific Puma ha registrato quasi 800 domini in un solo giorno.
La maggior parte dei domini ha un massimo di quattro caratteri, anche se in rari casi si sono raggiunti i sette. I vettori utilizzati per dirigere le vittime verso queste pagine sono i più comuni, ovvero pubblicità sui social network, SMS e situazioni simili.