Vrhovni domen .COM nastavlja da dominira sajberkriminalnim pejzažom kao primarno sredstvo za ugostiteljstvo web stranica za krađu vjerodajnica, zadržavajući svoju poziciju kao najšire zloupotrebljavani TLD od strane aktera prijetnji širom svijeta.
Nedavne obavještajne informacije ukazuju na to da zlonamjerni akteri iskorištavaju povjerljivu reputaciju i široko rasprostranjeno prepoznavanje .COM domena kako bi prevarili žrtve da odaju osjetljive vjerodajnice za prijavu na razne platforme i usluge.
Kibernetički kriminalci iskorištavaju .COM TLD kroz sofisticirane višefazne napadačke vektore koji započinju pažljivo izrađenim fišing-emailovima koji sadrže URL-ove prve faze ugrađene u prividno legitimne komunikacije.
Ovi početni linkovi preusmjeravaju žrtve na URL-ove druge faze gdje se vrši stvarno prikupljanje vjerodajnica, stvarajući složeni pristup koji pomaže u izbjegavanju sistema za detekciju i povećava stope uspješnosti kampanja.
Široka rasprostranjenost zloupotrebe .COM domena proizilazi iz njegovog univerzalnog prihvatanja i psihološkog povjerenja koje korisnici stavljaju u ovo poznato proširenje.
Za razliku od TLD-ova specifičnih za zemlju koji mogu izazvati sumnju, .COM domeni se besprekorno uklapaju u legitimni web saobraćaj, čineći ih idealnim za dugotrajne zlonamjerne operacije usmjerene na globalne publike u više sektora i industrija.
Istraživači iz Cofense-a su identifikovali da akteri prijetnji koji koriste .COM domene pokazuju izvanrednu dosljednost u svojim preferencijama ciljanja, pri čemu usluge povezane sa Microsoftom predstavljaju ogromnu većinu brendova koji se lažno predstavljaju u kampanjama krađe vjerodajnica.
Ovaj obrazac odražava sveprisutnost Microsoftovih korporativnih rješenja i visoku vrijednost korporativnih vjerodajnica za naknadne napade.
Tehnička infrastruktura koja podržava .COM-baziranu krađu vjerodajnica otkriva sofisticirane mjere operativne sigurnosti koje primjenjuju moderni akteri prijetnji.
Analiza zlonamjernih .COM domena pokazuje opsežnu upotrebu cloud hosting usluga, posebno Cloudflare-a, koji pruža i pouzdanost i anonimnost za kriminalne operacije.
Hosting obrazac tipično uključuje legitimne osnovne domene sa dinamički generisanim poddomenima koji se pojavljuju kao nasumični alfanumerički nizovi, a ne kao tekst koji ljudi mogu čitati.
Ovi poddomeni hostuju potpuno funkcionalne stranice za krađu vjerodajnica koje uključuju napredne tehnike izbjegavanja, uključujući Cloudflare Turnstile CAPTCHA sisteme koji služe dvostrukoj svrsi – da izgledaju legitimno, dok potencijalno filtriraju automatizovane sigurnosne skenere.
Osnovni domeni se često i dalje ne mogu dosegnuti ili prikazuju bezopasan sadržaj, dok poddomeni aktivno prikupljaju vjerodajnice kroz uvjerljive replike popularnih portala za prijavu.
Uobičajeni obrazac generisanja poddomena primijećen u .COM-baziranim fišing kampanjama, pokazuje pseudo-nasumičnu prirodu ovih zlonamjernih krajnjih tačaka koje koriste akteri prijetnji kako bi povećali svoju operativnu efikasnost uz minimiziranje rizika od detekcije.
Istraživači iz Cofense-a otkrili su da akteri prijetnji široko zloupotrebljavaju vrhovni domen .COM (TLD) kako bi ugostili web stranice za krađu vjerodajnica, što ga čini primarnim alatom za kibernetičke napadače. Ova praksa se nastavlja jer .COM zadržava svoju poziciju najčešće korištenog TLD-a od strane zlonamjernih aktera širom svijeta. Istraživači ističu da se ovi napadači oslanjaju na povjerenje i univerzalno prepoznavanje .COM domena kako bi prevarili korisnike i ukrali im osjetljive informacije poput vjerodajnica za prijavu.
Napadači koriste višefazne strategije, počevši od fišing-emailova koji sadrže linkove ka prividno legitimnim stranicama. Ovi linkovi potom preusmjeravaju žrtve na druge stranice gdje se vrši prikupljanje podataka, što otežava otkrivanje ovih zlonamjernih aktivnosti. Psihološko povjerenje koje korisnici imaju u .COM domene čini ih idealnim za ove operacije jer se lako uklapaju u normalan internetski saobraćaj. Analiza je pokazala da se veliki broj ovakvih napada fokusira na brendove povezane sa Microsoftom, vjerovatno zbog visoke vrijednosti korporativnih vjerodajnica za daljnje napade.
Što se tiče tehničke infrastrukture, kibernetički kriminalci koriste sofisticirane metode kao što je hosting na Cloudflare-u radi dobijanja pouzdanosti i anonimnosti. Oni često koriste legitimne osnovne domene sa generisanim poddomenima koji izgledaju nasumično. Ovi poddomeni sadrže funkcionalne stranice za krađu vjerodajnica koje koriste napredne tehnike izbjegavanja, uključujući CAPTCHA sisteme, kako bi prevarili ne samo korisnike, već i sigurnosne alate. Osnovni domeni često ne funkcionišu ili prikazuju bezopasan sadržaj, dok poddomeni aktivno prikupljaju povjerljive podatke korisnika. Ove strategije, uključujući generisanje pseudo-nasumičnih poddomena, pomažu im da izbjegnu otkrivanje i maksimiziraju efikasnost svojih operacija.