В последние годы киберпреступники постоянно адаптируют свои тактики и средства для обхода мер защиты и повышения эффективности своих зловредных кампаний. Особое внимание в 2025 году привлек резкий рост использования доменной зоны .es, которая, согласно данным аналитиков из Cofense, стала в 19 раз популярнее среди фишеров. Этот факт не только вызывает тревогу у специалистов по информационной безопасности, но и меняет привычные схемы проведения атак. Домены .
es, изначально предназначенные для испанского сегмента интернета, теперь становятся третьими по популярности у злоумышленников после .com и .ru. Для понимания масштаба и основных особенностей этого явления важно рассмотреть причины роста, применяемые методы и потенциальные способы защиты от угроз, исходящих из таких доменов. Доменная зона .
es традиционно ассоциируется с Испанией и испаноязычной аудиторией, что делает её особенно ценным инструментом для мошенников, нацеленных на пользователей, говорящих на испанском языке, либо на организации, действующие в этом регионе. Рост злоупотреблений доменом .es начался в январе 2025 года. К маю того же года исследователи зафиксировали многочисленные вредоносные кампании, в результате которых на базе 447 доменов .es и более чем 1300 поддоменов были размещены фишинговые и вредоносные страницы.
Основная цель злоумышленников — фишинг учетных данных. Согласно отчётам, около 99% вредоносных ресурсов на доменах .es созданы именно для кражи персональных данных, паролей и другой конфиденциальной информации пользователей. Остальной процент связан с распространением удалённых троянов доступа, таких как ConnectWise RAT, Dark Crystal и XWorm. Этот тип малвари предоставляет хакерам возможность дистанционного управления заражёнными устройствами, открывая путь для более сложных атак, краж ценных данных или установления устойчивых каналов доступа.
Успех таких атак напрямую зависит от степени доверия жертвы к отправителю вредоносного письма. Злоумышленники предпочитают маскироваться под крупные и уважаемые бренды, из которых чаще всего упоминается Microsoft. Их письма могут выглядеть крайне убедительно и содержат рабочие темы, связанные с кадровыми вопросами, запросами документов и другими актуальными для корпоративного и частного сектора запросами. Важной особенностью этих сообщений является качественное оформление и отсутствие типичных для спама ошибок, что значительно повышает вероятность открытия письма и перехода по вредоносным ссылкам. В адресах заражённых доменов .
es зачастую присутствует случайный набор символов, что свидетельствует о применении автоматизированных методов генерации поддоменов. Это усложняет задачу обхода подобных ресурсов со стороны антивирусных систем и служб блокировки, снижая эффективность массовых мер по борьбе с фишингом. Такие адреса могут выглядеть как ag7sr.fjlabpkgcuo.es или md6h60.
hukqpeny.es, что делает их незаметными для простого пользователя и затрудняет быструю идентификацию угрозы. Интересно, что никакие конкретные мотивы или особенности использования домена .es не были выявлены специалистами. Аналитики Cofense отмечают, что в отличие от некоторых специализированных хак-групп, здесь наблюдается широкое распространение злоупотребления доменами .
es разными преступниками с различными целями и методами. Это подтверждает вероятность того, что данный домен стал своего рода массовым средством для организации фишинговых кампаний, а не атрибутом одной или нескольких специализированных групп преступников. Одним из замечательных факторов, способствующих росту использования доменных имён .es для фишинга, является их интеграция с сервисами Cloudflare. Почти все вредоносные ресурсы, зарегистрированные в этой зоне, используют инфраструктуру Cloudflare, включая популярную защиту CAPTCHA Cloudflare Turnstile, что позволяет обойти некоторые базовые методы защиты и усложняет выявление подозрительных страниц.
При этом одним из возможных объяснений технологии привлечения злоумышленников является упрощённое развертывание веб-страниц через командную строку и платформу pages.dev, которая позволяет быстро создавать новые сайты, благодаря чему можно оперативно запускать многочисленные фишинговые ресурсы. Такая техническая новизна и доступность, возможно, и объясняют частичный переход к доменной зоне .es. К тому же, эксперты обсуждают вопрос о том, насколько строго Cloudflare реагирует на жалобы безопасности об обнаружении злоупотреблений на своих сервисах.
Мягкая политика реагирования может стимулировать злоумышленников выбирать платформу и домены, обеспечивающие длительную жизнь вредоносных страниц. В условиях растущей активности фишеров с использованием доменов .es главным вызовом для конечных пользователей и организаций становится повышение уровня осведомлённости и внедрение комплексной защиты. Для минимизации рисков рекомендуется внимательно относиться к электронным письмам, особенно если они запрашивают конфиденциальные сведения или действия, связанные с доступом к системам. Проверка отправителя, анализ ссылок, использование многослойной аутентификации в корпоративных и личных аккаунтах — все эти меры способны существенно снизить вероятность успешной компрометации.
