Los investigadores de seguridad han detallado cómo el sombreado de dominios se está volviendo cada vez más popular para los ciberdelincuentes.
Según lo informado por Bleeping Computer, los analistas de Palo Alto Networks (Unidad 42) revelaron cómo se encontraron con más de 12,000 incidentes de este tipo en solo un período de tres meses (de abril a junio de 2022).
Una rama del secuestro de DNS, el sombreado de dominios proporciona la capacidad de crear subdominios maliciosos infiltrándose en dominios legítimos. Como tal, los dominios sombreados no tendrán ningún impacto en el dominio principal, lo que naturalmente los hace difíciles de detectar.
Posteriormente, los ciberdelincuentes pueden utilizar estos subdominios a su favor para diversos fines, incluidos el phishing, la distribución de malware y las operaciones de comando y control (C2).
«Concluimos a partir de estos resultados que el sombreado de dominio es una amenaza activa para la empresa, y es difícil de detectar sin aprovechar los algoritmos automatizados de aprendizaje automático que pueden analizar grandes cantidades de registros de DNS», dijo unit 42.
Una vez que el acceso ha sido obtenido por los actores de amenazas, podrían optar por violar el dominio principal en sí y sus propietarios, así como dirigirse a los usuarios de ese sitio web. Sin embargo, han tenido éxito al atraer a individuos a través de los subdominios, además del hecho de que los atacantes permanecen sin ser detectados durante mucho más tiempo al confiar en este método.
Debido a la naturaleza sutil del sombreado de dominios, la Unidad 42 mencionó cómo es difícil detectar incidentes reales y dominios comprometidos.
De hecho, la plataforma VirusTotal identificó solo 200 dominios maliciosos de los 12.197 dominios mencionados en el informe. La mayoría de estos casos están conectados a una campaña de phishing individual que utiliza una red de 649 dominios sombreados a través de 16 sitios web comprometidos.
La campaña de phishing reveló cómo los subdominios mencionados anteriormente mostraban páginas de inicio de sesión falsas o redirigían a los usuarios a páginas de phishing, lo que esencialmente puede eludir los filtros de seguridad del correo electrónico.
Cuando un usuario visita el subdominio, se solicitan credenciales para una cuenta Microsoft. A pesar de que la URL en sí no es de una fuente oficial, las herramientas de seguridad de Internet no son capaces de diferenciar entre una página de inicio de sesión legítima y falsa, ya que no se presentan advertencias.
Uno de los casos documentados por el informe mostró cómo una empresa de capacitación con sede en Australia confirmó que fue pirateada a sus usuarios, pero el daño ya estaba hecho a través de los subdominios. Una barra de progreso para el proceso de reconstrucción se mostró en su sitio web.
Actualmente, el «modelo de aprendizaje automático de alta precisión» de Unit 42 ha descubierto cientos de dominios sombreados creados a diario. Con esto en mente, siempre verifique la URL de cualquier sitio web que le solicite datos, incluso si la dirección está alojada en un dominio de confianza.
