Crece la suplantación de dominios para burlar controles antispam y comprometer sistemas
- Endpoint
El uso fraudulento de dominios ligados a organizaciones legítimas incrementa las posibilidades de que correos con contenido malicioso lleguen al destinatario y de que el malware que contienen sea activado. El objetivo de las campañas va desde el phishing de credenciales bancarias hasta la extorsión de las víctimas.
Infoblox Threat Intel ha hecho público un informe en el que analiza el modo en que actores maliciosos están utilizando la suplantación de dominios (domain spoofing) antiguos o desatendidos para burlar mecanismos de seguridad, incluyendo controles antispam, para incrementar la difusión y alcance de sus ataques, haciendo que los correos electrónicos que sirven de vector de ataque parezcan legítimos.
Los investigadores han descubierto el uso de nuevas y sofisticadas técnicas de spam a través de correo electrónico, con mensajes que contienen archivos adjuntos o enlaces dañinos diseñados para infectar sistemas con malware o robar información confidencial. El hecho de utilizar dominios suplantados pertenecientes a entidades legítimas y reconocidas como remitente de estas comunicaciones incrementa las posibilidades de que estos correos maliciosos lleguen a la bandeja de entrada de los destinatarios.
Algunos casos de uso identificados:
- Campañas de phishing con códigos QR: estas campañas están dirigidas a residentes en China y utilizan códigos QR incorporados a archivos adjuntos para llevar a las víctimas a sitios de phishing. Las campañas también aprovechan los algoritmos de generación de dominios registrados (RDGA) para crear dominios de corta duración.
- Campañas de phishing en Japón: dirigidas a usuarios japoneses, utilizan de forma fraudulenta los nombres de marcas muy conocidas como Amazon y SMBC (uno de los bancos más grandes de Japón) para robar credenciales de inicio de sesión a las víctimas. Los atacantes utilizan sistemas de distribución de tráfico (TDS) para redirigir a las víctimas a páginas de inicio de sesión falsas y evitar la detección por parte de las empresas de seguridad.
- Campañas de extorsión: los cibercriminales informan a la víctima de que su dispositivo está comprometido y exigen el pago de una recompensa en Bitcoins a cambio de no divulgar determinada información. En este caso, la suplantación de identidad alcanza un mayor grado de sofisticación, ya que los atacantes falsifican la dirección de correo electrónico del destinatario para parecer más convincentes.