Kybernetické útoky se vyvíjejí neustále, ale někdy k překvapivým změnám dochází tam, kde bychom je nečekali. Podle nové zprávy společnosti Cofense došlo k bezprecedentnímu nárůstu zneužívání domény nejvyššího řádu .es, která je běžně spojována se Španělskem nebo španělsky mluvícími uživateli. Mezi čtvrtým čtvrtletím roku 2024 a pátým čtvrtletím 2025 se počet útoků z těchto domén zvýšil devatenáctinásobně, což z nich dělá třetí nejčastěji zneužívanou doménu po .com a .ru.

V období od ledna do května bylo identifikováno téměř 1 400 škodlivých subdomén na zhruba 450 základních .es doménách. V naprosté většině případů (99 %) šlo o phishing zaměřený na krádež přihlašovacích údajů, zatímco zbylá 1 % představovala útoky s cílem infikovat zařízení trojskými koni typu ConnectWise RAT, Dark Crystal nebo XWorm.

Útoky se nemění, mění se domény

Přestože doména .es byla dříve vnímána jako relativně bezpečná a příslušející seriózním organizacím, právě tato důvěra může být nyní zneužívána. Odborníci varují, že kyberzločinci využívají tzv. autoritu národní domény, která budí dojem oficiálnosti.

Zdroj: Shutterstock

Na samotných metodách se přitom mnoho nemění. Útočníci nadále využívají falešné e-maily a napadené servery typu C2, přičemž v 95 % případů se vydávají za společnost Microsoft. Na dalších příčkách nejčastěji zneužívaných značek se objevují Adobe, Google, DocuSign a dokonce i americký úřad Social Security Administration.

E-mailové návnady většinou předstírají, že se týkají personálních záležitostí, dokumentů nebo pracovních výzev.

Falešné domény, které generuje stroj

Na rozdíl od cíleně vytvořených phishingových webů jsou tyto škodlivé domény automaticky generované, což znamená, že se nesnaží o realistický vzhled. Tím sice usnadňují jejich technickou detekci, ale při běžném pohledu na URL může uživatel snadno podlehnout dojmu, že jde o interní firemní systém.

Příklady jako ag7sr.fjlabpkgcuo.es nebo gymi8.fwpzza.es ukazují, že za nimi nestojí lidská tvořivost, ale spíše skript či bot, který chrlí jednu doménu za druhou.

Hostováno pod Cloudflare

Téměř všechny tyto škodlivé domény měly jedno společné – byly hostované přes službu Cloudflare. Přestože to automaticky neimplikuje vinu této společnosti, ukazuje to na využití populárních hostingových řešení i u sofistikovaných kampaní. Výzkumníci ale nezjistili přímou souvislost mezi jednotlivými kampaněmi, takže není možné zatím přiřadit odpovědnost konkrétní skupině.

Je nicméně možné, že se útoky šíří přes undergroundové nástroje, které určitou doménu (například právě .es) preferují z důvodu její dřívější důvěryhodnosti a relativně nižšího monitoringu.

Varování pro správce a uživatele

Cofense zároveň připomíná, že doména .es byla do roku 2005 pod přísnou regulací, což mohlo přispět k jejímu čistému profilu. Tento historický kontext ale dnes paradoxně přispívá k tomu, že lidé a firemní systémy .es doménám stále věří.

V současnosti je však na místě zvýšená opatrnost, a to nejen u domén se zjevně podezřelým názvem, ale i u jakýchkoli nevyžádaných e-mailů od „známých“ značek.