专门提供IT自动化与安全服务的Infoblox在本周披露了专门用来支持网络犯罪行动的短网址服务,Infoblox将该服务供应商命名为Prolific Puma,指出该服务已存在至少4年之久,长期注册大量的域名名称来提供短网址服务,以协助网络犯罪份子躲避侦测,以用来执行网络钓鱼行动与诈骗,或是用来传送恶意程序。
Infoblox声称,网络犯罪是全球第三大的经济活动,在今年的经济价值高达8兆美元,而Prolific Puma即是该供应链中的一份子。
短网址服务可用来缩短网址,同时可指向原本的网页,一来方便用户分享,二来也可符合某些平台的网址长度限制。由于它隐藏了真实的网址,也成为黑客利用的工具,事实上,坊间有为数不少的免费短网址工具,部分因遭到黑客滥用而声名狼借的短网址服务则会直接遭到组织封锁,像是t.co或bit.ly等,这也使得黑客转向Prolific Puma等付费的短网址服务。
研究人员指出,Prolific Puma并非他们所发现的唯一非法短网址服务,却是其中最大也最活跃的,而且迄今没有在该服务上发现任何合法内容。
根据Infoblox的调查,Prolific Puma注册了大量的网址来提供短网址服务,光是自去年4月迄今,便注册了3.5万个至7.5万个的不重复域名名称,从.us、.link、.info、.com、.cc到.me等。从今年5月以来,更主攻仅允许美国人或美国公司才能注册的.us,已注册数千个.us的域名名称,呼应了《Krebs on Security》近日宣称.us已成为最常受到黑客滥用的国家顶级域名名称的报道。
借由Prolific Puma短网址服务所连接的最终页面经常是网络钓鱼或诈骗网站,但有时是直接连至恶意网站,有时是通过多层的重新定向,也有些会连至其它服务所产生的短网址,还有的会连至CAPTCHA来躲避侦测,或是通过手机短信来传递,Infoblox从这些情景来判断Prolific Puma的客户非常多样化。
此外,在注册了新网址之后,Prolific Puma通常会静置它们一阵子,因为绝大多数的网络钓鱼攻击都是利用新注册的网址,造成许多安全系统直接封锁新网址,静置几周后的网址才能躲过这些系统的侦测。
Infoblox已通过GitHub公布了Prolific Puma所使用的域名名称供外界参考。