Vrhovni domen .COM nastavlja da dominira sajber kriminalnim pejzažom kao primarno sredstvo za ugostiteljstvo web stranica za krađu kredencijala, zadržavajući svoju poziciju kao najšire zloupotrebljavani TLD od strane hakera širom svijeta.
Nedavne obavještajne informacije ukazuju na to da hakeri iskorištavaju povjerljivu reputaciju i široko rasprostranjeno prepoznavanje .COM domena kako bi prevarili žrtve da odaju osjetljive kredencijale za prijavu na razne platforme i usluge.
Sajber kriminalci iskorištavaju .COM TLD kroz sofisticirane višefazne napadačke vektore koji započinju pažljivo izrađenim fišing-emailovima koji sadrže URL-ove prve faze ugrađene u prividno legitimne komunikacije.
Ovi početni linkovi preusmjeravaju žrtve na URL-ove druge faze gdje se vrši stvarno prikupljanje kredencijala, stvarajući složeni pristup koji pomaže u izbjegavanju sistema za detekciju i povećava stope uspješnosti kampanja.
Široka rasprostranjenost zloupotrebe .COM domena proizilazi iz njegovog univerzalnog prihvatanja i psihološkog povjerenja koje korisnici stavljaju u ovo poznato proširenje.
Za razliku od TLD-ova specifičnih za zemlju koji mogu izazvati sumnju, .COM domeni se besprekorno uklapaju u legitimni web saobraćaj, čineći ih idealnim za dugotrajne maliciozne operacije usmjerene na globalne publike u više sektora i industrija.
Istraživači iz Cofense-a su identifikovali da hakeri koji koriste .COM domene pokazuju izvanrednu dosljednost u svojim preferencijama ciljanja, pri čemu usluge povezane sa Microsoftom predstavljaju ogromnu većinu brendova koji se lažno predstavljaju u kampanjama krađe kredencijala.
Ovaj obrazac odražava sveprisutnost Microsoftovih korporativnih rješenja i visoku vrijednost korporativnih kredencijala za naknadne napade.
Tehnička infrastruktura koja podržava .COM-baziranu krađu kredencijala otkriva sofisticirane mjere operativne bezbjednosti koje primjenjuju moderni hakeri.
Analiza malicioznih .COM domena pokazuje opsežnu upotrebu cloud hosting usluga, posebno Cloudflare-a, koji pruža i pouzdanost i anonimnost za kriminalne operacije.
Hosting obrazac tipično uključuje legitimne osnovne domene sa dinamički generisanim poddomenima koji se pojavljuju kao nasumični alfanumerički nizovi, a ne kao tekst koji ljudi mogu čitati.
Ovi poddomeni hostuju potpuno funkcionalne stranice za krađu kredencijala koje uključuju napredne tehnike izbjegavanja, uključujući Cloudflare Turnstile CAPTCHA sisteme koji služe dvostrukoj svrsi – da izgledaju legitimno, dok potencijalno filtriraju automatizovane bezbjednosne skenere.
Osnovni domeni se često i dalje ne mogu dosegnuti ili prikazuju bezopasan sadržaj, dok poddomeni aktivno prikupljaju kredencijale kroz uvjerljive replike popularnih portala za prijavu.
Uobičajeni obrazac generisanja poddomena primijećen u .COM-baziranim fišing kampanjama, pokazuje pseudo-nasumičnu prirodu ovih malicioznih krajnjih tačaka koje koriste hakeri kako bi povećali svoju operativnu efikasnost uz minimiziranje rizika od detekcije.
Istraživači iz Cofense-a otkrili su da hakeri široko zloupotrebljavaju vrhovni domen .COM (TLD) kako bi ugostili web stranice za krađu kredencijala, što ga čini primarnim alatom za sajber napadače. Ova praksa se nastavlja jer .COM zadržava svoju poziciju najčešće korišćenog TLD-a od strane hakera širom svijeta. Istraživači ističu da se ovi napadači oslanjaju na povjerenje i univerzalno prepoznavanje .COM domena kako bi prevarili korisnike i ukrali im osjetljive informacije poput kredencijala za prijavu.
Napadači koriste višefazne strategije, počevši od fišing-emailova koji sadrže linkove ka prividno legitimnim stranicama. Ovi linkovi potom preusmjeravaju žrtve na druge stranice gdje se vrši prikupljanje podataka, što otežava otkrivanje ovih malicioznih aktivnosti. Psihološko povjerenje koje korisnici imaju u .COM domene čini ih idealnim za ove operacije jer se lako uklapaju u normalan internet saobraćaj. Analiza je pokazala da se veliki broj ovakvih napada fokusira na brendove povezane sa Microsoftom, vjerovatno zbog visoke vrijednosti korporativnih kredencijala za daljnje napade.
Što se tiče tehničke infrastrukture, sajber kriminalci koriste sofisticirane metode kao što je hosting na Cloudflare-u radi dobijanja pouzdanosti i anonimnosti. Oni često koriste legitimne osnovne domene sa generisanim poddomenima koji izgledaju nasumično. Ovi poddomeni sadrže funkcionalne stranice za krađu kredencijala koje koriste napredne tehnike izbjegavanja, uključujući CAPTCHA sisteme, kako bi prevarili ne samo korisnike, već i bezbjednosne alate. Osnovni domeni često ne funkcionišu ili prikazuju bezopasan sadržaj, dok poddomeni aktivno prikupljaju povjerljive podatke korisnika. Ove strategije, uključujući generisanje pseudo-nasumičnih poddomena, pomažu im da izbjegnu otkrivanje i maksimiziraju efikasnost svojih operacija.
