Аналитики по кибербезопасности зафиксировали 19-кратное увеличение количества вредоносных кампаний, использующих испанские домены .es. Согласно исследованию компании Cofense, данная доменная зона заняла третье место по популярности среди киберпреступников, уступив только традиционным лидерам — доменам .com и .ru.
Масштабы киберугрозы в доменной зоне .es
Доменная зона .es, изначально предназначенная для испанских сайтов и ресурсов, ориентированных на испаноязычную аудиторию, стала объектом массового злоупотребления с начала 2025 года. По состоянию на май текущего года специалисты выявили размещение вредоносного контента на 447 базовых доменах .es и 1373 поддоменах.
Статистика показывает тревожную тенденцию: 99% обнаруженных вредоносных страниц предназначены для фишинга учетных данных пользователей. Оставшийся процент используется для распространения троянов удаленного доступа (RAT), включая такие опасные варианты как ConnectWise RAT, Dark Crystal и XWorm.
Тактики и методы атак через .es домены
Киберпреступники применяют изощренные методы социальной инженерии для распространения вредоносного программного обеспечения. В 95% случаев злоумышленники маскируются под корпорацию Microsoft, создавая убедительные имитации официальных уведомлений.
Характерные особенности атак включают:
• Высокое качество поддельных писем с проработанным содержанием
• Тематика, связанная с рабочими процессами: кадровые вопросы, запросы документов
• Случайная генерация доменных имен для усложнения обнаружения
• Имитация страниц входа в систему Microsoft для кражи учетных данных
Технические особенности вредоносной инфраструктуры
Исследование выявило интересную закономерность: 99% вредоносных .es-доменов используют услуги Cloudflare для хостинга и защиты. Большинство фишинговых страниц интегрированы с системой CAPTCHA Cloudflare Turnstile, что придает им дополнительную видимость легитимности.
Эксперты отмечают, что недавние упрощения в развертывании веб-страниц через командную строку и платформу pages.dev могли способствовать росту популярности данного сервиса среди злоумышленников. Однако точные причины массового перехода на .es домены остаются предметом дальнейшего изучения.
Анализ мотивов киберпреступников
Специалисты Cofense подчеркивают, что разнообразие используемых брендов и тактик указывает на вовлеченность множества независимых злоумышленников, а не одной специализированной группы. Это свидетельствует о том, что злоупотребление доменами .es становится широко распространенной тактикой в криминальном сообществе.
Стабильная популярность доменов .com и .ru среди киберпреступников контрастирует с циклическими изменениями предпочтений в других доменных зонах, которые могут меняться от квартала к кварталу в зависимости от различных факторов.
Данная тенденция требует повышенного внимания со стороны специалистов по информационной безопасности и пользователей. Организациям рекомендуется усилить мониторинг электронной почты, обновить системы фильтрации и провести дополнительное обучение сотрудников по распознаванию фишинговых атак, особенно тех, которые используют домены .es и имитируют сервисы Microsoft.
