Эксперты Cofense забили тревогу: за первые месяцы 2025 года использование доменов .es для кибератак выросло почти в двадцать раз, сделав испанскую зону третьей по популярности среди мошенников после .com и .ru.
С января на сотнях доменов .es появились вредоносные страницы, с которых ежедневно рассылаются письма с фишингом и троянами, маскируясь под известные бренды — чаще всего под Microsoft.
Злоумышленники активно создают случайно сгенерированные поддомены с бессмысленными наборами букв, чтобы затруднить отслеживание и блокировку. Специалисты зафиксировали более 1300 таких поддоменов, используемых для кражи учетных данных и распространения опасных RAT, включая Dark Crystal и XWorm. Фишинговые письма нередко выглядят убедительно и посвящены «рабочим вопросам», чтобы вызвать доверие у жертв.
Характерная черта этой волны атак — почти все вредоносные сайты размещены через сервисы Cloudflare и используют CAPTCHA Turnstile, что усложняет автоматическое выявление угроз. Исследователи пока не понимают, что именно привлекло киберпреступников к испанской доменной зоне: недавние нововведения Cloudflare или недостаточная реакция на жалобы о нарушениях.
Аналитики отмечают, что масштаб и разнообразие атак говорят о массовом интересе к доменам .es со стороны множества киберпреступников, а не одной конкретной группы. Это превращает испанскую доменную зону в новый плацдарм для атак на пользователей по всему миру.
С января на сотнях доменов .es появились вредоносные страницы, с которых ежедневно рассылаются письма с фишингом и троянами, маскируясь под известные бренды — чаще всего под Microsoft.
Злоумышленники активно создают случайно сгенерированные поддомены с бессмысленными наборами букв, чтобы затруднить отслеживание и блокировку. Специалисты зафиксировали более 1300 таких поддоменов, используемых для кражи учетных данных и распространения опасных RAT, включая Dark Crystal и XWorm. Фишинговые письма нередко выглядят убедительно и посвящены «рабочим вопросам», чтобы вызвать доверие у жертв.
Характерная черта этой волны атак — почти все вредоносные сайты размещены через сервисы Cloudflare и используют CAPTCHA Turnstile, что усложняет автоматическое выявление угроз. Исследователи пока не понимают, что именно привлекло киберпреступников к испанской доменной зоне: недавние нововведения Cloudflare или недостаточная реакция на жалобы о нарушениях.
Аналитики отмечают, что масштаб и разнообразие атак говорят о массовом интересе к доменам .es со стороны множества киберпреступников, а не одной конкретной группы. Это превращает испанскую доменную зону в новый плацдарм для атак на пользователей по всему миру.
