Los expertos en ciberseguridad informan un aumento de 19x en las campañas maliciosas que se están lanzando desde los dominios .es, lo que lo convierte en el tercero más común, solo por detrás .com y .ru.
El dominio de nivel superior (TLD) .es es el dominio reservado para el país de España, o sitios web dirigidos a audiencias de habla hispana.
Cofense dijo que el abuso de la TLD.
Los investigadores dijeron que el 99 por ciento de estos se centraron en credencial Phishingmientras que el otro 1 por ciento se dedicó a distribuir troyanos de acceso remoto (ratas) como la rata conectada, el cristal oscuro y el XWORM.
El malware se distribuyó a través de un nodo C2 o un correo electrónico malicioso que falsificaba una marca conocida (Microsoft en el 95 por ciento de los casos, como era de esperar), por lo que no había nada demasiado novedoso sobre las campañas que no sean los TLD.
Los correos electrónicos vistos en la naturaleza tienden a ser temáticos en torno a asuntos en el lugar de trabajo, como solicitudes de recursos humanos o solicitudes de recepción de documentos, por ejemplo, y los mensajes a menudo están bien diseñados, en lugar de frases de bajo esfuerzo.
Los dominios .es que alojan el contenido malicioso, como los portales falsos de inicio de sesión de Microsoft, se generan al azar en la mayoría de los casos en lugar de diseñados por un humano. Para los objetivos potenciales, esto potencialmente hace que sea más fácil detectar un aspecto parecido/tipográfico-La URL de estilo.
Algunos ejemplos de los tipos de subdominios alojados en los dominios base .es son los siguientes:
AG7SR (.) FJLABPKGCUO (.) ES
gymi8 (.) fwpzza (.) it
md6h60(.)hukqpeny(.)es
Shmkd (.) Jlaancyfaw () es
En cuanto a por qué exactamente el dominio .es estaba demostrando ser tan popular, Cofense no se aventuró a ninguna conjetura. Sin embargo, dijo que, aparte de los dos TLD más abusos (.com y .ru), el resto tiende a fluctuar de cuarto a trimestre.
De todos modos, la naturaleza general de las campañas de phishing que los expertos observados en los últimos seis meses sugieren que los sitios web dudosos podrían estar aquí para quedarse.
Cofense dijo: «Si un actor de amenaza o un grupo de actores de amenaza aprovechara los dominios .es TLD, entonces es probable que las marcas falsificadas en campañas .es TLD indicarían ciertas preferencias por parte de los actores de amenaza que serían diferentes de las campañas generales entregadas por una amplia variedad de actores de amenaza con motivos variables, objetivos y calidad de campaña.
«Esto no se observó, lo que hace que sea probable que el abuso de los dominios .es TLD se convierta en una técnica común entre un gran grupo de actores de amenazas en lugar de algunos grupos más especializados».
Una similitud que Cofense vio entre casi todos los dominios maliciosos. Captcha.
«Si bien CloudFlare ha hecho recientemente la implementación de una página web rápida y fácil a través de la línea de comandos con páginas alojadas en (.) Páginas (.) Dev, no está claro si su reciente movimiento para hacer que los dominios alojados por ellos sean fáciles de implementar han atraído a los actores de amenazas a sus servicios de alojamiento en diferentes plataformas o si hay otras razones, como la forma en que Strict o Lenient Cloudflare ha sido con abuso quejan», los investigadores bloguearon el blogs.
Los TLD de código de país de la Unión Europea (CCTLD) como los .es están típicamente entre los menos abusados, según el Corporación de Internet para nombres y números asignados (ICANN).
Por lo general, vienen con más restricciones sobre quién puede registrar un CCTLD en comparación con un TLD genérico (GTLD) como .top y .cremalleray no apoye los registros a granel, lo que los hace menos atractivos para aquellos que desean abusar de ellos en masa. ®