Infoblox deelt informatie over een nieuwe dreiging, Prolific Puma. Deze actor is al minstens vier jaar actief zonder detectie door securityprofessionals, maar is nu ontdekt op basis van DNS-technieken. De malware maakt domeinnamen aan met speciale algoritmes en gebruikt deze vervolgens om linkverkorters aan te bieden aan criminelen, zodat zij hun aanvallen ongedetecteerd kunnen uitvoeren. Het is de eerste in zijn soort die nu ontdekt is.
Prolific Puma is onderdeel van de aanvalsketen in de cybercrime economie, de op twee na grootste economie ter wereld – er gaat in 2023 naar schatting zo’n $8 biljoen in om. In minder dan een maand tijd heeft Prolific Puma recent duizenden domeinnamen geregistreerd, veel op het U.S. toplevel domein (usTLD), om phishing mails, fraude, malware en andere criminele praktijken te faciliteren.
Prolific Puma wijdverspreid onder de radar
Voor zover bij Infoblox bekend, is dit de eerste keer dat zo’n grote malafide linkverkorter is ontdekt. Wat de malware zo opmerkelijk maakt, is dat deze dienst niet is ontdekt via malware of phishingsites, maar via DNS-analyse. Prolific Puma valt bovendien op omdat de dienst ruim 18 maanden kwaadaardige activiteiten kon faciliteren zonder enige detectie door de security-branche. Met een enorme verzameling domeinnamen zijn zij doorlopend in staat gebleken kwaadaardig verkeer te verspreiden en detectie te ontwijken.
Infoblox raadt beveiligingsteams dan ook aan om te evalueren of hun tooling in staat is de malware te bestrijden én Prolific Puma-tactieken op te nemen in hun security awareness-programma’s. Uit onderzoeksresultaten blijkt dat de kwaadaardige links voornamelijk via sms-berichten worden verspreid. Het blokkeren van de malware op DNS-lagen beschermt gebruikers tegen alle schadelijke inhoud die via deze links wordt verspreid. Bovendien wordt de aanvalsketen dan verstoord, en daarmee een gedeelte van de cybercrime economie.