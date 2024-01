Infoblox découvre un réseau de plusieurs dizaines de milliers de noms de domaine qui dissimule depuis 4 ans des activités cybercriminelles

Chaque jour, les acteurs malveillants de l’économie numérique travaillent dans l’ombre à pour préparer et mettre à l’œuvre des attaques aussi dévastatrices qu’inattendues. Ces efforts, dont le succès parvient jusqu’aux médias, génèrent un sentiment d’angoisse pour les organisations et les particuliers.

Ayant réussi à passer sous les radars de l’écosystème

cybersécurité pendant plus de 4 ans, Prolific Puma fait partie de ces

menaces qu’il faut craindre ! Avec une infrastructure composée de

dizaines de milliers de noms de domaine, cet acteur de menace a été,

et continue d’être, le vecteur de multiples campagnes malveillantes.

Les experts d’Infoblox, spécialiste des solutions de sécurité basées

sur le DNS (qui analyse 70 milliards de requêtes DNS quotidiennement),

ont réussi à repérer l’activité de Prolific Puma fin 2023, suite à

la détection d’un algorithme de génération de domaines enregistrés

(RDGA) utilisé pour créer les noms de domaine du service malveillant

de raccourcissement d’URL.

En quelques mots : qu’est-ce que Prolific Puma ?

Prolific Puma est un fournisseur de services clandestins qui permet à

d’autres acteurs malveillants d’éviter de se faire détecter dans la

conduite de leurs opérations. Il contribue à la propagation du

phishing, des escroqueries et des logiciels malveillants auprès des

individus (et potentiellement des entreprises). Les éléments

indiquent que les liens de Prolific Puma sont principalement diffusés

via des messages texto.

Pourquoi ce nom ?

’Prolific’ fait référence à un réseau en constante expansion, avec

de nouveaux domaines enregistrés presque quotidiennement.

Et ‘Puma’ ? Les experts d’Infoblox ont remarqué qu’à chaque fois

que Prolific Puma utilise l’enregistrement de domaine public, il utilise

systématiquement une adresse e-mail faisant référence à la chanson

’October 33’ du groupe Black Pumas - un groupe de soul basé à Austin,

Texas, US. Pour plus de détails sur cette histoire intrigante, je vous

invite à lire la section "Prolific Puma Character" sur le blog

d’Infoblox [1].

Comment Prolific Puma est-il utilisé ?

Infoblox soupçonne Prolific Puma de fournir un service destiné à

d’autres acteurs malveillants et de ne pas contrôler les pages de

destinations finales.

Les campagnes Prolific Puma impliquent de grands réseaux de domaines

contrôlés par d’autres acteurs de menaces reposant sur le DNS, souvent

enregistrés avec des registraires peu coûteux et générés par des

RDGA (Registered Domain Generation Algorithm). En effet, Prolific Puma

se base sur les RDGA pour générer leurs noms de domaine. Ces domaines

servent de raccourcisseurs de liens et sont hébergés chez des

fournisseurs de services anonymes afin d’assurer la discrétion et

d’éviter la détection de leurs activités réelles.

Pourquoi Prolific Puma est-il dangereux ?

L’économie de la cybercriminalité est la troisième au monde, avec

une valeur estimée à 8 000 milliards de dollars en 2023, et Prolific

Puma fait partie de la chaîne d’approvisionnement. En perturbant le

fonctionnement de Prolific Puma, nous perturbons un segment plus large

de l’économie criminelle ! Le blocage de Prolific Puma au niveau des

DNS protège ainsi les utilisateurs de tous les contenus malveillants

qu’ils servent.