Cómo los nombres de dominio caducados pueden redirigirlo a sitios web maliciosos

por

Los ciberdelincuentes pueden aprovechar las páginas de nombres de dominio inactivos para llevarlo a sitios maliciosos, dice Kaspersky.

concepto-de-notificación-de-malware-o-error-alerta-roja-alerta-de-spam-vector-id1142226935.jpg

Imagen: danijelala, Getty Images / iStockPhoto

Es probable que la mayoría de nosotros en algún momento haya intentado abrir un sitio web solo para descubrir que el sitio ya no existe, reemplazado por una página de destino que indica que el dominio ha expirado o está en proceso de revisión. En algunos casos, la página resultante simplemente contiene enlaces relacionados con el sitio caducado. En otros casos, la página está alojada en un sitio de subastas que busca vender el nombre de dominio vencido.

VER: Plan de respuesta ante incidentes de malware (TechRepublic Premium)

Normalmente, este tipo de páginas de destino o páginas de subastas parecen ser benignas con enlaces a otros sitios que se supone que son legítimos. Pero un informe publicado el miércoles por el proveedor de seguridad Kaspersky explica que puede haber malware al acecho detrás de algunas de estas páginas aparentemente benignas.

Al investigar una aplicación para un juego en línea, los investigadores de Kaspersky descubrieron que la aplicación intentaba redirigirlos a una URL no deseada e inesperada, que estaba a la venta en un sitio de subastas. Sin embargo, en lugar de llevar a las personas al sitio de código auxiliar correcto, la redirección de la segunda etapa los llevó a una página en la lista negra.

Tras un análisis más detallado, Kaspersky descubrió alrededor de 1.000 sitios web a la venta del mismo servicio de subastas. La segunda etapa de redirección de estos sitios llevó a los usuarios a más de 2500 URL no deseadas. Y muchas de estas URL se configuraron para descargar el Troyano Shlayer, un desagradable malware que intenta instalar adware en computadoras Mac.

stub-page-expired-domain-kaspersky.jpg

Página de resguardo del dominio a la venta.

Imagen: Kaspersky

Al observar la actividad desde marzo de 2019 hasta febrero de 2020, Kaspersky determinó que el 89% de estos redireccionamientos de segunda etapa fueron a páginas relacionadas con anuncios, mientras que el 11% fueron a páginas maliciosas. En algunos casos, las propias páginas contenían código malicioso. En otros casos, se pidió a los usuarios que instalaran malware o que descargaran documentos de Microsoft Office y archivos PDF infectados.

Como de costumbre, el beneficio es el objetivo final. Las personas reciben dinero por llevar a los usuarios a ciertas páginas, ya sean páginas de anuncios legítimas o maliciosas (una práctica conocida como publicidad maliciosa). Una de las páginas maliciosas recibió 600 redireccionamientos en promedio en solo diez días. Con las páginas que intentaron instalar el troyano Shlayer, los atacantes reciben un pago por cada instalación del malware en un dispositivo afectado.

La suposición de Kaspersky es que los delincuentes detrás de esta campaña son parte de una red bien organizada y presumiblemente administrada que puede desviar el tráfico a sitios web maliciosos. Pudieron hacer esto utilizando redireccionamientos de nombres de dominio legítimos y explotando los recursos de un sitio de subastas de dominio conocido.

“Desafortunadamente, es poco lo que los usuarios pueden hacer para evitar ser redirigidos a una página maliciosa”, dijo Dmitry Kondratyev, analista junior de malware de Kaspersky, en un comunicado de prensa. “Los dominios que tienen estos redireccionamientos eran, en un momento, recursos legítimos, tal vez aquellos que los usuarios visitaban con frecuencia en el pasado. Y no hay forma de saber si ahora están transfiriendo visitantes a páginas que descargan malware. En general, Los esquemas de publicidad maliciosa como estos son complejos, por lo que es difícil descubrirlos por completo, por lo que su mejor defensa es tener una solución de seguridad integral en su dispositivo “.

Aunque este ataque en particular puede ser difícil de combatir, aún puede tomar medidas para tratar de evitar que los troyanos en general infecten sus dispositivos. Como tal, Kaspersky ofrece los siguientes consejos: 1) Instale programas y actualizaciones solo de fuentes confiables; 2) Utilice una solución de seguridad confiable con funciones anti-phishing que eviten redirecciones a páginas sospechosas.

Sigue navegando por nuestra web viendo más artículos.

Publicaciones relacionadas:

  1. Google expone exploits maliciosos dirigidos a usuarios de Windows y Android
  2. Android: Mensajes de texto bloqueados “Descargando” o “Caducados”
  3. Nombres de contactos de iPhone que faltan en las notificaciones de mensajes
  4. Cómo las organizaciones pueden reducir su dependencia de las contraseñas

Deja un comentario