Експерти з кібербезпеки фіксують драматичне зростання кіберзагроз у доменній зоні .es, яке перевищило попередні показники у 19 разів. За даними дослідження компанії Cofense, іспанські домени несподівано увійшли до трійки найпопулярніших доменних зон серед кіберзлочинців, поступившись лише традиційним лідерам .com та .ru.
Масштаби інфільтрації вредоносного контенту
Доменна зона .es, яка традиційно використовувалася для іспанських веб-ресурсів та сайтів, орієнтованих на іспаномовну аудиторію, зазнала масштабного зловживання з початку 2025 року. Станом на травень поточного року, дослідники виявили присутність шкідливого контенту на 447 основних доменах .es та 1373 піддоменах.
Аналіз структури загроз демонструє тривожну картину: 99% виявлених шкідливих сторінок спеціалізуються на фішингу облікових даних користувачів. Решта 1% використовується для поширення троянів віддаленого доступу (RAT), включаючи такі небезпечні варіанти як ConnectWise RAT, Dark Crystal та XWorm.
Методики атак через .es домени
Кіберзлочинці демонструють високий рівень професіоналізму у застосуванні методів соціальної інженерії. У 95% випадків зловмисники маскуються під корпорацію Microsoft, створюючи надзвичайно переконливі імітації офіційних повідомлень.
Основні характеристики атак включають створення високоякісних підроблених листів з детально опрацьованим змістом, використання тематики, пов’язаної з робочими процесами – кадрові питання та запити документів, випадкову генерацію доменних імен для ускладнення виявлення, а також імітацію сторінок входу в систему Microsoft для крадіжки облікових даних.
Технічна архітектура шкідливої інфраструктури
Дослідження виявило цікаву закономірність: 99% вредоносних .es-доменів використовують послуги Cloudflare для хостингу та захисту. Більшість фішингових сторінок інтегровані з системою CAPTCHA Cloudflare Turnstile, що надає їм додаткову видимість легітимності.
Фахівці відзначають, що нещодавні спрощення у розгортанні веб-сторінок через командний рядок та платформу pages.dev могли сприяти зростанню популярності цього сервісу серед зловмисників. Проте точні причини масового переходу на .es домени залишаються предметом подальшого дослідження.
Аналіз мотивації кіберзлочинців
Спеціалісти Cofense підкреслюють, що різноманітність використовуваних брендів та тактик свідчить про залученість множини незалежних зловмисників, а не однієї спеціалізованої групи. Це вказує на те, що зловживання доменами .es стає широко поширеною тактикою в кримінальному середовищі.
Стабільна популярність доменів .com та .ru серед кіберзлочинців контрастує з циклічними змінами уподобань в інших доменних зонах, які можуть змінюватися від кварталу до кварталу залежно від різних факторів.
Ця тенденція вимагає підвищеної уваги з боку фахівців з інформаційної безпеки та користувачів. Організаціям рекомендується посилити моніторинг електронної пошти, оновити системи фільтрації та провести додаткове навчання співробітників з розпізнавання фішингових атак, особливо тих, які використовують домени .es та імітують сервіси Microsoft. Своєчасне виявлення та блокування таких загроз є критично важливим для захисту корпоративних даних та персональної інформації користувачів.
