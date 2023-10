Een groep criminelen gebruikt het topleveldomein .US voor een malafide URL-shortener, zo stelt securitybedrijf Infoblox. Sinds april registreerde de groep, die de naam 'Prolific Puma' heeft gekregen, tussen de 35.000 en 75.000 unieke domeinnamen. Deze domeinnamen worden vervolgens gebruikt om voor andere criminelen verkorte links te genereren die naar malafide sites wijzen. Het kan dan gaan om websites gebruikt voor phishing, malware of andere scams.

Door het gebruik van een URL-shortener kunnen aanvallers de werkelijke bestemming van de link verbergen. Daarbij kiezen de aanvallers voor het .US-topleveldomein. De te registreren domeinen, meestal drie of vier karakters lang, worden via een algoritme gegenereerd. Ook gaat het om niet verlengde domeinnamen die de groep opnieuw registreert. Voor de registratie van de domeinnamen wordt vaak gebruik gemaakt van NameSilo. De registrar vereist alleen een e-mailadres en betaalmethode, aldus Infoblox. Wanneer een houder iets met zijn domeinnaam wil doen zijn een naam en adresgegevens verplicht.

Volgens de onderzoekers is het opmerkelijk dat de criminele groep zoveel .US-domeinen registreert, omdat het topleveldomein transparantie verplicht. Geen enkel domein mag privé worden geregistreerd, wat inhoudt dat zaken als adres, naam en telefoonnummer publiek zichtbaar zijn. "Dit lijkt misschien criminelen af te schrikken, maar het is niet effectief, aangezien het .US-topleveldomein bekendstaat om het misbruik", aldus Infoblox. Daarnaast blijkt dat de criminelen een manier hebben gevonden om de .US-domeinen toch met afgeschermde gegevens te registreren, wat in strijd met de voorwaarden is.