Cada día se registran miles de nuevos dominios para que las empresas y los particulares puedan crear sitios web, pero una nueva investigación de Palo Alto Networks ha revelado que los ciberdelincuentes suelen registrar dominios maliciosos años antes de que tengan la intención de utilizarlos realmente.
La Unidad 42 de la empresa de ciberseguridad comenzó su investigación sobre los dominios maliciosos inactivos después de que se revelara que los criminales tras el hackeo de SolarWinds de 2019 los usaran en su ataque. Para identificar los antiguos dominios estratégicos y monitorizar su actividad, Palo Alto Networks lanzó un detector basado en la nube en septiembre del 2021.
Según las conclusiones de los investigadores de la firma, el 22,3% de los antiguos dominios estratégicos suponen algún tipo de peligro, siendo una pequeña parte directamente maliciosa (3,8%), la mayoría sospechosa (19%) y algunos inseguros para entornos de trabajo (2%).
La razón por la que los ciberdelincuentes y otros actores de amenazas dejan que un dominio envejezca es para crear un "registro limpio", de modo que sea menos probable que su dominio sea bloqueado. Por otro lado, los dominios recién registrados (NRD) tienen más probabilidades de ser maliciosos y, por esta razón, los sistemas de seguridad suelen marcarlos como sospechosos. Sin embargo, según Palo Alto Networks, los antiguos dominios estratégicos tienen tres veces más probabilidades de ser maliciosos que los NRD.
Detección de dominios maliciosos inactivos
Cuando se detecta un pico repentino de tráfico, a menudo se trata de un antiguo dominio estratégico que en realidad es malicioso. Esto se debe a que las webs normales suelen ver crecer su tráfico gradualmente desde su creación, a medida que más personas visitan un sitio después de conocerlo a través del boca a boca o de la publicidad.
Al mismo tiempo, los dominios que no están destinados a fines legítimos suelen tener un contenido incompleto, clonado o cuestionable y, por lo general, también carecen de los datos de registro de WHOIS. Otra señal de que un dominio fue registrado y destinado a ser utilizado posteriormente en campañas maliciosas es la generación de subdominios DGA.
Para aquellos que no estén familiarizados, el DGA o algoritmo de generación de dominios es un método utilizado para generar nombres de dominio y direcciones IP que servirán como puntos de comunicación de comando y control (C2) utilizados para evadir la detección y las listas de bloqueo. Solo examinando los sitios que usan DGA, el detector basado en la nube de Palo Alto Networks fue capaz de identificar dos dominios sospechosos cada día.
Durante su investigación, la firma de ciberseguridad descubrió una campaña de espionaje de Pegasus que empleaba dos dominios C2 registrados en el 2019 que finalmente se activaron dos años después, en julio del 2021. Los investigadores de Palo Alto Networks también encontraron campañas de phishing que usaban subdominios de la DGA, así como abusos de DNS comodín.
Fuente: Bleeping Computer
