Infoblox découvre un réseau de plusieurs dizaines de milliers de noms de domaine qui dissimule depuis 4 ans des activités cybercriminelles

0
234

Chaque jour, les acteurs malveillants de l’économie numérique travaillent dans l’ombre à pour préparer et mettre à l’œuvre des attaques aussi dévastatrices qu’inattendues. Ces efforts, dont le succès parvient jusqu’aux médias, génèrent un sentiment d’angoisse pour les organisations et les particuliers.

Tribune – Ayant réussi à passer sous les radars de l’écosystème cybersécurité pendant plus de 4 ans, Prolific Puma fait partie de ces menaces qu’il faut craindre ! Avec une infrastructure composée de dizaines de milliers de noms de domaine, cet acteur de menace a été, et continue d’être, le vecteur de multiples campagnes malveillantes.

Les experts d’Infoblox, spécialiste des solutions de sécurité basées sur le DNS (qui analyse 70 milliards de requêtes DNS quotidiennement), ont réussi à repérer l’activité de Prolific Puma fin 2023, suite à la détection d’un algorithme de génération de domaines enregistrés (RDGA) utilisé pour créer les noms de domaine du service malveillant de raccourcissement d’URL.

      En quelques mots : qu’est-ce que Prolific Puma ?

Prolific Puma est un fournisseur de services clandestins qui permet à d’autres acteurs malveillants d’éviter de se faire détecter dans la conduite de leurs opérations. Il contribue à la propagation du phishing, des escroqueries et des logiciels malveillants auprès des individus  (et potentiellement des entreprises). Les éléments indiquent que les liens de Prolific Puma sont principalement diffusés via des messages texto.

      Pourquoi ce nom ?

‘Prolific’ fait référence à un réseau en constante expansion, avec de nouveaux domaines enregistrés presque quotidiennement.

Et ‘Puma’ ? Les experts d’Infoblox ont remarqué qu’à chaque fois que Prolific Puma utilise l’enregistrement de domaine public, il utilise systématiquement une adresse e-mail faisant référence à la chanson ‘October 33’ du groupe Black Pumas – un groupe de soul basé à Austin, Texas, US. Pour plus de détails sur cette histoire intrigante, je vous invite à lire la section “Prolific Puma Character” sur le blog d’Infoblox.

Comment Prolific Puma est-il utilisé ?

Infoblox soupçonne Prolific Puma de fournir un service destiné à d’autres acteurs malveillants et de ne pas contrôler les pages de destinations finales.

Les campagnes Prolific Puma impliquent de grands réseaux de domaines contrôlés par d’autres acteurs de menaces reposant sur le DNS, souvent enregistrés avec des registraires peu coûteux et générés par des RDGA (Registered Domain Generation Algorithm). En effet, Prolific Puma se base sur les RDGA pour générer leurs noms de domaine. Ces domaines servent de raccourcisseurs de liens et sont hébergés chez des fournisseurs de services anonymes afin d’assurer la discrétion et d’éviter la détection de leurs activités réelles.

Pourquoi Prolific Puma est-il dangereux ?

L’économie de la cybercriminalité est la troisième au monde, avec une valeur estimée à 8 000 milliards de dollars en 2023, et Prolific Puma fait partie de la chaîne d’approvisionnement. En perturbant le fonctionnement de Prolific Puma, nous perturbons un segment plus large de l’économie criminelle ! Le blocage de Prolific Puma au niveau des DNS protège ainsi les utilisateurs de tous les contenus malveillants qu’ils servent.

Si vous souhaitez un éclairage plus précis sur l’histoire de Prolific Puma, je vous invite à consulter le blog d’Infoblox : https://blogs.infoblox.com/cyber-threat-intelligence/prolific-puma-shadowy-link-shortening-service-enables-cybercrime/