Los investigadores de seguridad han detallado cómo la sombra de dominio se está volviendo cada vez más popular entre los ciberdelincuentes.
Según lo informado por Bleeping Computer, los analistas de Palo Alto Networks (Unidad 42) revelaron cómo se encontraron con más de 12 000 incidentes de este tipo en solo un período de tres meses (de abril a junio de 2022).
Una rama del secuestro de DNS, la sombra de dominio brinda la capacidad de crear subdominios maliciosos al infiltrarse en dominios legítimos. Como tal, los dominios sombreados no tendrán ningún impacto en el dominio principal, lo que naturalmente los hace difíciles de detectar.
Posteriormente, los ciberdelincuentes pueden usar estos subdominios en su beneficio para varios propósitos, incluido el phishing, la distribución de malware y las operaciones de comando y control (C2).
«Concluimos a partir de estos resultados que el sombreado de dominios es una amenaza activa para la empresa, y es difícil de detectar sin aprovechar los algoritmos de aprendizaje automático automatizados que pueden analizar grandes cantidades de registros de DNS», afirmó Unit 42.
Una vez que los actores de amenazas han obtenido acceso, podrían optar por violar el dominio principal y sus propietarios, así como atacar a los usuarios de ese sitio web. Sin embargo, han tenido éxito al atraer a personas a través de los subdominios, además del hecho de que los atacantes permanecen sin ser detectados durante mucho más tiempo al confiar en este método.
Debido a la naturaleza sutil del sombreado de dominio, la Unidad 42 mencionó que es difícil detectar incidentes reales y dominios comprometidos.
De hecho, la plataforma VirusTotal identificó solo 200 dominios maliciosos de los 12 197 dominios mencionados en el informe. La mayoría de estos casos están relacionados con una campaña de phishing individual que utiliza una red de 649 dominios ocultos a través de 16 sitios web comprometidos.
La campaña de phishing reveló cómo los subdominios antes mencionados mostraban páginas de inicio de sesión falsas o redirigían a los usuarios a páginas de phishing, que esencialmente pueden eludir los filtros de seguridad del correo electrónico.
Cuando un usuario visita el subdominio, se solicitan credenciales para una cuenta de Microsoft. Aunque la URL en sí no proviene de una fuente oficial, las herramientas de seguridad de Internet no son capaces de diferenciar entre una página de inicio de sesión legítima y una falsa, ya que no se presentan advertencias.
Uno de los casos documentados por el informe mostró cómo una empresa de capacitación con sede en Australia confirmó que fue pirateada para sus usuarios, pero el daño ya estaba hecho a través de los subdominios. En su sitio web se mostró una barra de progreso para el proceso de reconstrucción.
Actualmente, el «modelo de aprendizaje automático de alta precisión» de Unit 42 ha descubierto cientos de dominios sombreados creados a diario. Con esto en mente, siempre verifique dos veces la URL de cualquier sitio web que le solicite datos, incluso si la dirección está alojada en un dominio confiable.
Recomendaciones de los editores