Se espera que los incidentes relacionados con dominios maliciosos sigan aumentando

Recomendados:  Caminando hacia Zero Trust, el modelo de seguridad que se impone en la empresa Evento Nuevas reglas de seguridad para aplicaciones web y API Leer

Los dominios maliciosos son una técnica cada vez más utilizada por los ciberatacantes como vector de entrada para introducir su malware. En su Internet Security Report Q1 2021, WatchGuard ya detectó un aumento del 281% de dominios bloqueados por DNS Watch con respecto al trimestre anterior y eso que durante 2020 ya hubo una importante actividad de este tipo de enlaces que aprovecharon el interés por el COVID-19.

Hace unos días, Microsoft anunció que había deshabilitado 42 dominios maliciosos creados por el grupo chino APT-15, con los que engañaron a miembros de organizaciones públicas y privadas, think tanks y ONGs relacionadas con derechos humanos. Al clicar sobre ellos, facilitaron la entrada de un malware con el que pudieron acceder a sus servidores y obtener información privilegiada sobre intereses industriales y geopolíticos chinos. Por este motivo los analistas creen que China estaba realizando una campaña masiva de ciberespionaje.

Otros grandes incidentes con los dominios durante este año han llegado comprometer webs legítimas muy conocidas. Por ejemplo, en julio se descubrió que en el portal archive.org habían introducido un script malicioso de Powershell en una de sus páginas con un cargador en el que se encontraba el malware AgentTesla. Los investigadores especulan que se utilizaban las páginas del portal como como alojadores (hosting) del malware para después usarlas en posteriores ciberataques.

El phishing es otra de las técnicas que utilizan habitualmente estos enlaces y el sector bancario suele encontrarse entre los más afectados. Varios clientes de la entidad Chase Personal Banking fueron víctimas de una campaña de este tipo: recibieron un mail simulando con el mensaje “La declaración de su tarjeta de crédito ya está disponible” y un link que llevaba a una landing page falsa que les pedía los datos bancarios. La particularidad de este incidente es que el mail con estos enlaces logró sobrepasar los filtros de spam de Microsoft Exchange Online Protection y Microsoft Defender para Office 365.

Facebook también ha sido un canal para el uso de dominios maliciosos durante estos meses. En este caso, los ciberatacantes se sirvieron de las cuentas profesionales de Facebook para poner anuncios que llevaban a dominios que servían como cargador del malware CopperStealer. Una vez inyectado, este malware se quedaba con las credenciales de sus víctimas y los ciberatacantes usaban después sus sistemas como origen para realizar posteriores ciberataques.

Todos estos ejemplos relacionados con los dominios maliciosos demuestran que los ciberatacantes utilizan técnicas de ingeniería social cada vez más sofisticadas. Por estos motivos, para este año WatchGuard insta a los MSPs a implementar soluciones avanzadas para la protección de red de sus clientes que incorporen firewalls de última generación. Con ellas, podrán bloquear enlaces sospechosos de manera automatizada y detectar incluso el malware cifrado que pueda circular en sus redes y todo ello gestionado de manera centralizada y muy sencilla.

Una buena práctica para los MSPs y los equipos de IT es que, con estas herramientas, generen listados de sitios web de confianza y también categoricen temáticas que son más susceptibles de tener enlaces peligrosos y que no suelan tener relación con la actividad profesional de la empresa. Además, los trabajadores deberían contar con unas nociones básicas de ciberseguridad en navegación web y correos electrónicos, como no abrir enlaces desconocidos o que sepan identificar aquellos que pueden resultar más sospechosos.