Графы раскрыли ловушку: .zip, .ing и .bot - тайные убежища киберпреступников

За последний год были выпущены 19 новых доменов верхнего уровня (TLD), и проведенное исследование Palo Alto Networks показало, что эти домены активно используются для различных кибератак. Среди выявленных угроз — крупномасштабные фишинговые кампании, распространение потенциально нежелательных программ, торрент-сайты и даже проекты, связанные с пранками и мемами.

Интернет сегодня включает более 1000 общих доменов верхнего уровня (Generic TLD, gLTD), зарегистрированных в базе данных IANA (Internet Assigned Numbers Authority). Каждый год к этому числу добавляются новые домены, что открывает все больше возможностей для злоумышленников. Особую опасность представляют те TLD, которые напоминают популярные расширения файлов, например, .zip, или специализированные идентификаторы, такие как .bot.

Исследователи обнаружили, что существует четкая связь между датами доступности новых доменов и их популярностью. Это указывает на то, что различные группы — как добросовестные пользователи, так и злоумышленники — внимательно отслеживают запуск новых TLD, чтобы начать регистрацию доменов. Некоторые из них используют домены для законных целей, но другие видят в этом возможность для кибератак и мошенничества.

Наибольшее внимание привлекли такие домены, как .zip, .ing и .bot. Так, домен .zip, который стал доступен 10 мая 2023 года, сразу же привлек злоумышленников. Уже 16 мая был зафиксирован значительный рост трафика к доменам .zip, что свидетельствует о массовой регистрации доменов в этом TLD. Аналогично, домен .ing, ставший доступным 5 декабря 2023 года, привлек значительное количество пользователей и злоумышленников уже в первый день его запуска.

Популярность 10 самых популярных новых TLD-доменов за последний год

Один из примеров — кампания, связанная с перенаправлением трафика на фишинговые сайты. В рамках кампании было обнаружено 112 доменов, зарегистрированных в новых TLD, которые формируют тесно связанную кластерную фишинговую сеть. Все домены перенаправляли пользователей на различные URL-адреса, что указывает на участие в скоординированной атаке.

Кампания по перенаправлению с 112 доменами из 11 различных недавно выпущенных TLD

Еще одна выявленная угроза связана с использованием доменов .bot. Злоумышленники зарегистрировали 92 домена с именами, напоминающими имена людей, города или случайные слова, и использовали их для перенаправления пользователей на фальшивые чат-сервисы. Эти сервисы могли бы использоваться для мошенничества, спама или сбора личных данных.

Две разные целевые страницы в одном домене для URL-адресов, заканчивающихся на harriet[.]php и chicken[.]php

Также было обнаружено использование доменов .esq, .zip и .foo для распространения торрент-ссылок. Такой кластер доменов демонстрирует эволюцию инфраструктуры, которая адаптируется к блокировкам со стороны систем безопасности, продолжая распространять контент через новые домены.

Кроме того, исследователи заметили, что домены, напоминающие расширения файлов, всё чаще используются для троллинга. Например, были выявлены домены .zip и .mov, которые перенаправляли пользователей на популярный мем с рикроллом — видео с песней «Never Gonna Give You Up» Рика Эстли.

В результате исследования стало очевидно, что появление новых доменов верхнего уровня представляет серьезную угрозу для кибербезопасности. Чтобы минимизировать риски, компании должны внимательно следить за регистрацией доменов в новых TLD и оперативно реагировать на появление подозрительной активности. Специалисты подчеркивают важность внедрения современных средств защиты, которые помогут выявлять и предотвращать атаки, использующие новые домены верхнего уровня.