В последние годы киберпреступники активно используют различные доменные зоны верхнего уровня (TLD) для размещения вредоносного контента и управления командно-контрольными (C2) серверами. Среди наиболее часто эксплуатируемых доменов традиционно фигурируют .ru и .com, но, по данным Cofense Intelligence, в начале 2025 года резко возросло злоупотребление испанским доменом .es. С четвертого квартала 2024 года по первый квартал 2025 года количество атак с его использованием увеличилось в 19 раз, что позволило .es войти в топ-10 самых популярных TLD для фишинга учетных данных.
Описание
Особенно тревожной тенденцией стал рост количества фишинговых URL второго уровня, которые ведут на поддельные страницы ввода учетных данных или используются для кражи информации. Именно на таких страницах злоумышленники чаще всего размещают формы ввода паролей, имитирующие известные сервисы, такие как Microsoft, Adobe или Google. Раньше домен .es преимущественно использовался как часть инфраструктуры для распространения вредоносного ПО, но сейчас он активно задействуется в массовых фишинговых кампаниях.
Домен .es - это национальный домен верхнего уровня для Испании, который официально предназначен для сайтов, ориентированных на испаноязычную аудиторию. В прошлом его использование было ограничено, что привело к сравнительно небольшому количеству легитимных долгосрочных проектов в этой зоне. Однако с 2005 года правила регистрации были смягчены, что, возможно, сыграло на руку злоумышленникам.
Важным фактором, способствующим росту злоупотреблений, стало активное использование поддоменов с псевдослучайными названиями. По данным аналитиков, в выборке с января по май 2025 года было обнаружено 1373 вредоносных поддомена, размещенных на 447 базовых доменах .es. Более 99% из них были связаны с фишингом, а менее 1% использовались для распространения удаленных троянов, таких как XWorm RAT и Dark Crystal RAT.
Одной из характерных черт атак с использованием .es стало массовое спам-рассылка, имитирующая уведомления от Microsoft. Около 95% всех обнаруженных поддельных писем пытались выдать себя за сообщения от этой компании. Другие популярные бренды, такие как Adobe, Google и Docusign, фигурировали намного реже - менее чем в 2% случаев.
Фишинговые страницы, размещенные на поддоменах .es, часто отличаются высоким уровнем проработки и выглядят крайне убедительно. Например, злоумышленники создавали точные копии интерфейса Outlook, запрашивая у жертв логины и пароли. При этом сам базовый домен обычно остается недоступным - активны только поддомены с вредоносным контентом.
Практически все обнаруженные фишинговые страницы в зоне .es (около 99%) использовали инфраструктуру Cloudflare. Эта компания предоставляет удобные инструменты для быстрого развертывания веб-страниц, включая CAPTCHA Turnstile, которая нередко применяется мошенниками для маскировки фишинговых форм.
Пока остается неясным, привлекает ли злоумышленников простота развертывания сайтов через Cloudflare или же они выбирают этот хостинг из-за особенностей обработки жалоб на злоупотребления. Однако очевидно, что использование облачных сервисов усложняет блокировку вредоносных ресурсов.
Тенденция к увеличению атак через домен .es демонстрирует, что киберпреступники продолжают адаптироваться к мерам защиты, и борьба с фишингом требует постоянного обновления стратегий безопасности.
Индикаторы компрометации
Domains
- ag7sr.fjlabpkgcuo.es
- emailcenter.pages.dev
- emailwebbs.pages.dev
- gymi8.fwpzza.es
- md6h60.hukqpeny.es
- new-voicemail-audio-message.pages.dev
- Shmkd.jlaancyfaw.es
- webmail-bc8c1be56-auth-c0014bc8c1be56e3ec5d86e3ec5d8-login.pages.dev