- Para ahli mengamati kenaikan kuartal 19 x-over-kuarter dalam penggunaan. U.S.A. untuk kampanye berbahaya
- 99 % adalah serangan phishing kredensial, dengan 1 % berkaitan dengan akses jarak jauh Trojan
- Microsoft sejauh ini adalah merek yang paling sering ditiru
Pakar keamanan siber dari Cofense telah mengungkapkan peningkatan 19 x dalam kampanye jahat menggunakan domain.es antara Q 4 2024 dan Q 5 2025, menjadikannya domain tingkat atas terbanyak ketiga yang disalahgunakan (TLD) setelah.com dan.ru.
Biasanya dicadangkan untuk bisnis dan organisasi di Spanyol, atau penonton berbahasa Spanyol, para peneliti menemukan hampir 1 400 subdomain jahat di hampir 450 domain name dasar antara Januari dan Mei.
Mayoritas yang luar biasa (99 %) dari kampanye melibatkan phishing kredensial, dengan sebagian besar 1 % sisanya memberikan Trojan akses jarak jauh (tikus) seperti ConnectWise Rat, Dark Crystal dan Xworm.
Domain.es terbukti populer karena serangan phishing
Meskipun kebangkitan domain.es dalam serangan cyber patut diperhatikan, vektor serangan tetap tidak berubah. Malware terlihat dikirimkan oleh node C 2 atau email palsu, dengan sebagian besar (95 %) meniru Microsoft (favorit penyerang). Adobe, Google, DocuSign, dan Administrasi Jaminan Sosial menjadi situs web teratas lima yang paling sering ditiru. Umpan e-mail sering meniru SDM dan permintaan terkait dokumen.
Menariknya, subdomain yang jahat dihasilkan secara acak, tidak dibuat secara guidebook, membuatnya lebih mudah untuk diidentifikasi sebagai palsu. Contohnya termasuk AG 7 SR (.) FJLABPKGCUO (.) ES dan GYMI 8 (.) FWPZZA (.) ES.
Meskipun para peneliti menyarankan bahwa tidak ada kesamaan yang dapat digunakan untuk menghubungkan serangan dengan satu kelompok, 99 % dari domain.es yang berbahaya di -host di Cloudflare.
“Jika satu aktor ancaman atau kelompok aktor ancaman mengambil keuntungan dari domain name TLD. Kemungkinan bahwa merek yang dipalsukan dalam kampanye TLD akan menunjukkan preferensi tertentu oleh aktor ancaman,” tulis para peneliti.
Cofense menjelaskan bahwa “pembatasan yang signifikan” pada penggunaan.es TLD ada sampai tahun 2005, menambahkan bahwa kenaikan baru-baru ini dalam serangan terkait.ES dapat menjadi penyebab kekhawatiran, menandai tren baru yang mengeksploitasi otoritas yang dibawa oleh TLD terkait negara secara tidak resmi.
