Взрыв атак с .es-доменов: как испанский интернет стал киберкрышей
Эксперты по кибербезопасности из компании Cofense зафиксировали резкий, почти двадцатикратный рост вредоносных кампаний, в которых использовались домены с окончанием .es — это национальный домен Испании. За период с четвёртого квартала 2024 по пятый квартал 2025 года .es ворвался в тройку самых популярных зон у кибермошенников, уступив только привычным .com и .ru.
Обычно такие домены предназначены для испанских организаций и аудитории, говорящей на испанском языке. Однако злоумышленники с января по май зарегистрировали почти 1400 вредоносных поддоменов на базе примерно 450 доменных имён в зоне .es.
Почти все (99%) этих атак были связаны с фишингом учётных данных, то есть преступники пытались выманить пароли и логины пользователей. Оставшийся один процент — поставка удалённого доступа через трояны ConnectWise RAT, Dark Crystal и XWorm.
Способы доставки угроз не изменились: злоумышленники по-прежнему используют поддельные emails или специальные серверы, из которых вредоносный код попадает на компьютер жертвы. Почти все письма (95% случаев) маскируются под уведомления от Microsoft (любимая приманка мошенников). В пятёрку также вошли сайты Adobe, Google, Docusign и американская служба социального обеспечения. Темы писем стандартны — кадровые вопросы и документы.
Любопытна и технология: вредоносные поддомены .es генерируются автоматически, а не вручную, из-за чего часто выглядят откровенно подозрительно (например: ag7sr.fjlabpkgcuo.es или gymi8.fwpzza.es).
Исследователи не нашли общих признаков, указывающих на одну конкретную преступную группу. Однако 99% всех опасных .es-доменов располагаются на инфраструктуре Cloudflare — известной американской компании, предоставляющей услуги по защите и ускорению сайтов.
До 2005 года на регистрацию .es-доменов в Испании действовали жёсткие ограничения. Но теперь рост атак с этих адресов вызывает беспокойство: злоумышленники пользуются тем, что национальные домены воспринимаются как более авторитетные и «надёжные». Это — новая тенденция в цифровой преступности.
Эксперты из Cofense разворачивают красную тряпку: испанские .es-домены массово сдают позиции и превращаются в кибер-шалаш для разнокалиберных взломщиков. Бурный рост — 19 раз за год — не результат любви к паэлье, а просто потому что национальные домены внезапно стали новым символом доверия. А люди верят всему испанскому: ведь если это не Microsoft.com, то уж Microsoft.que-то-takoe.es — точно честно.
99% атак — унылый фишинг: ловят логины и пароли по давно проторенным дорожкам социнженерии. Мошенники не вдаются в детали: генерируют уродливые адреса, которые даже ваш дед распознает как подозрительные («Что за gymi8.fwpzza.es, и почему оттуда требуют мой паспорт?»). Но вот магия TLD работает — «es» означает, что это вам не какой-нибудь безродный phish4you.net.
Виноват Cloudflare или киберпреступники с вкусом к сиесте? Вопрос праздный: пока одни строят системы ускорения сайтов, другие — ускоряют ваш путь к утечке данных. Раньше .es был так же недоступен, как испанская коррида для гастарбайтеров. Теперь — для любого желающего. Финал? Люди всегда клюют на новизну и старую добрую жадность, поэтому теперь ловушку расставляют с налётом средиземноморской страсти.