Desde ayer se está produciendo una verdadera avalancha de correo basura que simula ser de registrantes reputados como Enom y Networksolutions. Bajo la excusa de que el domino está a punto de caducar, su objetivo es robar las contraseñas de clientes de registrantes y por tanto adueñarse de sus dominios. Ayer además se dio a conocer que ICANN ha retirado la licencia a Estdomains, uno de los registrantes supuestamente aliados con el mundo del malware… ¿Será que los atacantes andan escasos de dominios?
Se ha observado una avalancha de correos de tipo phishing. Esta vez no intentan simular portales de entidades bancarias, sino que están destinados a simular registrantes reputados de dominios como Enom y Networksolutions. El asunto del correo suele ser: «Attention: domain will be expired soon.» En su interior en un cuidado inglés y en texto plano se avisa al usuario de que su domino está a punto de caducar y que debe visitar la web del registrante e introducir su usuario y contraseña para renovar el dominio. En otras ocasiones en el correo se habla de que a causa de un corte temporal en el servicio, es necesario que el usuario se autentique.
En cualquiera de los casos el enlace lleva a una página que simula fielmente el portal de Enom o Networksolutions. Los dominios (adquiridos para la ocasión y camuflados en dominios de tercer nivel) bajo los que se alojan estos phishing suelen tener la estructura:
http://www.enom.com.comXY.biz, o http://www.networksolutions.com.sysXY.mobi/ siendo XY números cualesquiera. Aunque esto puede cambiar en cualquier momento.
Si el usuario introduce en estas páginas sus datos, los atacantes podrán controlar el dominio que la víctima tenga contratado y redirigirlo limpiamente a cualquier otro servidor, que bien podría tratarse de otro phishing, o alojar en ese dominio malware. Al ser dominios «legítimos» del que los usuarios han perdido el control, el efecto es mucho más «creíble» para las potenciales víctimas que lo visiten.
Hacía tiempo que no se observaba una campaña tan virulenta contra dueños de domino. Por otro lado (o quizás está relacionado), el pasado martes ICANN eliminó a Estdomains de su lista de registrantes acreditados: ya no pueden ejercer más su función. Estdomains siempre ha estado bajo la sospecha de ser un registrante que se lleva bien con el crimen organizado en Internet. Una buena parte de los dominios contratados en esta empresa han servido y sirven para la difusión del malware 2.0 y todo tipo de actividades ilegales. Siempre se les ha acusado de ser excesivamente «tolerantes» con estas prácticas. ICANN en un movimiento sin precedentes (que ha sido muy aplaudido), ha anunciado en un comunicado público que debido a la eterna sospecha sobre Estdomains (ellos siempre han negado que toleren el abuso de sus dominios), les retira la licencia. Aunque Estdomains ha presentado alegaciones (en estonio) y el proceso está temporalmente parado en espera de que ICANN las estudie. El dueño de Esdomains ha estado en prisión anteriormente por fraudes con tarjetas de crédito.
De golpe, si Estdomains es verdaderamente cómplice de las mafias informáticas, estas se quedan sin un socio que les proporcione una parte de la infraestructura necesaria para alojar sus componentes de troyanos. Relacionando esta última campaña de phishing que pretende conseguir dominios y la suspensión de la licencia de Estdomains, se pueden plantear dudas: ¿Está la nueva campaña de phishing relacionada con esa pérdida repentina de su aliado, de los dominios alojados en Estdomains? ¿Es posible que necesiten nuevos dominios (conseguidos de cualquier forma) para tener una buena infraestructura en la que seguir operando? No podemos saberlo con certeza.
Lo más probable es que los atacantes se «muden» en breve a cualquier otro registrante (probablemente también ruso) que haga la vista gorda ante sus actividades, y sigan esparciendo malware en la Red.
A ICANN además, le queda el problema de recolocar todos esos dominios de Estdomains que siendo legítimos, ahora tienen que cambiar de registrante.
ssantos@hispasec.com
Más información:
ICANN
http://www.icann.org/correspondence/burnette-to-tsastsin-28oct08-en.pdf
Deja una respuesta