Infoblox découvre un réseau de plusieurs dizaines de milliers de noms de domaine qui dissimule depuis 4 ans des activités cybercriminelles
janvier 2024 par Infoblox Inc
Chaque jour, les acteurs malveillants de l’économie numérique
travaillent dans l’ombre à pour préparer et mettre à l’œuvre des
attaques aussi dévastatrices qu’inattendues. Ces efforts, dont le
succès parvient jusqu’aux médias, génèrent un sentiment d’angoisse
pour les organisations et les particuliers.
Ayant réussi à passer sous les radars de l’écosystème
cybersécurité pendant plus de 4 ans, Prolific Puma fait partie de ces
menaces qu’il faut craindre ! Avec une infrastructure composée de
dizaines de milliers de noms de domaine, cet acteur de menace a été,
et continue d’être, le vecteur de multiples campagnes malveillantes.
Les experts d’Infoblox, spécialiste des solutions de sécurité basées
sur le DNS (qui analyse 70 milliards de requêtes DNS quotidiennement),
ont réussi à repérer l’activité de Prolific Puma fin 2023, suite à
la détection d’un algorithme de génération de domaines enregistrés
(RDGA) utilisé pour créer les noms de domaine du service malveillant
de raccourcissement d’URL.
En quelques mots : qu’est-ce que Prolific Puma ?
Prolific Puma est un fournisseur de services clandestins qui permet à
d’autres acteurs malveillants d’éviter de se faire détecter dans la
conduite de leurs opérations. Il contribue à la propagation du
phishing, des escroqueries et des logiciels malveillants auprès des
individus (et potentiellement des entreprises). Les éléments
indiquent que les liens de Prolific Puma sont principalement diffusés
via des messages texto.
Pourquoi ce nom ?
’Prolific’ fait référence à un réseau en constante expansion, avec
de nouveaux domaines enregistrés presque quotidiennement.
Et ‘Puma’ ? Les experts d’Infoblox ont remarqué qu’à chaque fois
que Prolific Puma utilise l’enregistrement de domaine public, il utilise
systématiquement une adresse e-mail faisant référence à la chanson
’October 33’ du groupe Black Pumas - un groupe de soul basé à Austin,
Texas, US. Pour plus de détails sur cette histoire intrigante, je vous
invite à lire la section "Prolific Puma Character" sur le blog
d’Infoblox [1].
Comment Prolific Puma est-il utilisé ?
Infoblox soupçonne Prolific Puma de fournir un service destiné à
d’autres acteurs malveillants et de ne pas contrôler les pages de
destinations finales.
Les campagnes Prolific Puma impliquent de grands réseaux de domaines
contrôlés par d’autres acteurs de menaces reposant sur le DNS, souvent
enregistrés avec des registraires peu coûteux et générés par des
RDGA (Registered Domain Generation Algorithm). En effet, Prolific Puma
se base sur les RDGA pour générer leurs noms de domaine. Ces domaines
servent de raccourcisseurs de liens et sont hébergés chez des
fournisseurs de services anonymes afin d’assurer la discrétion et
d’éviter la détection de leurs activités réelles.
Pourquoi Prolific Puma est-il dangereux ?
L’économie de la cybercriminalité est la troisième au monde, avec
une valeur estimée à 8 000 milliards de dollars en 2023, et Prolific
Puma fait partie de la chaîne d’approvisionnement. En perturbant le
fonctionnement de Prolific Puma, nous perturbons un segment plus large
de l’économie criminelle ! Le blocage de Prolific Puma au niveau des
DNS protège ainsi les utilisateurs de tous les contenus malveillants
qu’ils servent.