Domini e Cybercrimine: sgominato un sistema che ne creava 800 al giorno

Il sistema RDGA per creare domini era attivo da almeno 4 anni e permetteva di direzionare meglio le vittime di malware e phishing.
Marco Ponteprino
Pubblicato il 2 nov 2023
Domini e Cybercrimine: sgominato un sistema che ne creava 800 al giorno
pixabay.com

I ricercatori di sicurezza informatica di Infoblox hanno scoperto un algoritmo di generazione di domini registrati (RDGA) che aiutava i criminali informatici a eludere il rilevamento e a proporre siti di phishing e malware più facilmente.

L’operazione, soprannominata Prolific Puma, utilizzava un algoritmo di generazione dei domini in blocco, con un sistema per creare “scorciatoie” verso gli stessi che evitassero la segnalazione dei siti Web come potenzialmente pericolosi.

I ricercatori hanno affermato come “Quando abbiamo distrutto Prolific Puma, abbiamo distrutto un segmento ampio dell’economia criminale” a dimostrazione di come questo sistema fosse importante nel contesto del cybercrimine. Gli stessi hanno poi chiarito come “Prolific Puma generava algoritmicamente grandi volumi di domini e poi li utilizza per creare collegamenti abbreviati per altri attori malintenzionati, consentendo loro di nascondere la loro vera attività“.

Prolific Puma: in un solo anno registrati circa 75.000 domini

L’operazione è attiva da almeno quattro anni, ha spiegato ancora Infoblox, ipotizzando che in realtà potrebbe funzionare anche da molto più tempo. La scoperta di questo ingegnoso sistema non è dovuta alla casualità, ma attraverso un’analisi DNS.

Sei mesi fa, alcuni ricercatori che analizzano 70 miliardi di query DNS al giorno, hanno rilevato il sistema RDGA che creava nomi di dominio sfruttati poi dai cybercriminali.

I ricercatori hanno scoperto che in meno di un mese, Prolific Puma è riuscita a registrare migliaia di domini, molti dei quali di primo livello statunitense (usTLD). Dall’aprile dello scorso anno sono stati registrati circa 75.000 nomi di dominio univoci. All’inizio del 2023, Prolific Puma ha registrato quasi 800 domini in un solo giorno.

La maggior parte dei domini ha un massimo di quattro caratteri, anche se in rari casi si sono raggiunti i sette. I vettori utilizzati per dirigere le vittime verso queste pagine sono i più comuni, ovvero pubblicità sui social network, SMS e situazioni simili.

Ti consigliamo anche

GitHub: scoperti 3.000 account che diffondono malware
Vulnerabilità

GitHub: scoperti 3.000 account che diffondono malware
Hamster Kombat, rischio malware per milioni di videogiocatori
Vulnerabilità

Hamster Kombat, rischio malware per milioni di videogiocatori
EvilVideo, l'exploit zero-day Telegram sfruttato per nascondere malware
Vulnerabilità

EvilVideo, l'exploit zero-day Telegram sfruttato per nascondere malware
Google Play Store, scansione malware: Play Protect migliora ancora
Sicurezza

Google Play Store, scansione malware: Play Protect migliora ancora
Link copiato negli appunti