Domínios genéricos e sites fraudulentos: uma conexão perigosa

Todos conhecemos os TLD (Top Level Domains) que compõe a parte final dos endereços da Internet. Até 2011, apenas 22 terminações de domínio eram permitidas, dentre delas: .com, .net, .gov, .edu, .mil, .org.

Em 2012 o ICANN (Internet Corporation for Assigned Names and Numbers) lançou o programa gTLD (generic TLD) que aumentou para mais de 1.000 o número de possíveis terminações de domínio para empresas de diversos segmentos. Alguns exemplos: .moto, .hospital, .radio, .shopping, .games, .passagens, .cafe, .download, .ltda, .gratis, .dental, .social, .moda, entre outros; a lista completa pode ser acessada no site do ICANN.

De acordo com o ICANN, o programa de novos gTLDs é uma iniciativa coordenada que permite a expansão do sistema de nomes de domínio. Com a introdução destes domínios de primeiro nível (TLD), o programa visa aumentar a inovação, a concorrência e a escolha do consumidor. Além disso, como resultado do programa, muitas novas proteções foram inseridas para ajudar no apoio de uma Internet segura, estável e resiliente.

No entanto, no relatório de abuso de DNS do ICANN lançado em 2016, a Architelos - empresa de consultoria e gerenciamento de gTLD’s - noticiou o primeiro uso malicioso – ocorrido em fevereiro de 2014 - envolvendo um domínio deste tipo. De lá pra cá, este tipo de ataque cresceu dramaticamente.

No site da NTLD Stats, ao filtrar os dados para o período de janeiro de 2016 a maio de 2017, é possível constatar que os domínios mais registrados são. xyz e .top. Coincidência ou não, quase 50% dos casos de fraude digital estão associados ao domínio. top, segundo dados do levantamento da NTLD Stats.

A própria dinâmica da criação de um novo gTLD. explica bastante o uso dos domínios genéricos para fins maliciosos:

Primeiramente, a organização interessada envia o pedido ao ICANN, que avalia e julga a viabilidade e concessão do domínio. Uma vez criado o novo domínio, a organização pode oferecer seu uso para outras partes interessadas, mas sempre sob a responsabilidade de gerenciar estas concessões.

Com a enorme popularidade das novas extensões, muitas API’s foram criadas para facilitar o processo e gestão de uso por terceiros. A problemática surge quando esta automação aliada à enorme expansão de URL’s baseadas nos novos gTLD’s, torna mais fácil a ação de atacantes maliciosos.

E de que forma eles fazem isso? Muitos usam estas ferramentas para criar dezenas de sites clonados de caráter malicioso com o intuito de roubar dados de usuários, vítimas que muitas vezes nem percebem a real natureza do site onde estão.

Outro dado reportado no último relatório da APWG (Anti-Phishing Working Group) é que 2016 foi o ano com maior quantidade de ataques de phishing na história. Apenas de 2015 para 2016 houve um aumento de 65% nos ataques e inclui o gráfico abaixo, com os setores mais afetados da indústria:

O Ataque — Esta informação anterior se mostra necessária pois pretende contextualizar o leitor sobre um tipo de ataque de phishing sofisticado monitorado recentemente: desde o último trimestre de 2016, pude detectar a ampla utilização dos domínios .top e .xyz como vetor de infecção em diversas mensagens de phishing para disseminação de ransomware e trojans bancários aqui no Brasil.

Este link já era conhecido em nossa base de reputação de URL’s e foi classificado como vetor para disseminação de ransomware. Por meio do ThreatConnect foi possível obtermos informações como localização do servidor malicioso e seu tempo de atividade.

Ao buscar na Internet por um domínio similar, encontramos o global-cobranca.com.br: percebe-se então algo bem elaborado para os padrões de ataques de phishing genéricos: o registro do gTLD globalcobranca.top, similar a um domínio já existente, com um assunto relacionado à atuação da empresa real e com um sender também relativo ao assunto do e-mail, com o intuito de promover maior credibilidade na mensagem. Este padrão de ataque se repetiu e continuou com diversos senders e domínios tanto no envio quanto no armazenamento das ameaças.

Técnica DGA — Outra técnica para diversificar ainda mais o ataque, foi o DGA (Domain Generated Algorithm), uma técnica já conhecida que consiste basicamente na geração e conexão automática de domínios.

Exemplo de e-mail atacado — O site da Nota Fiscal Eletrônica é real e é extremamente semelhante à URL nfefazenda.top. Logo, o usuário pode muito facilmente pensar que trata-se de uma mensagem válida.

O link na mensagem direciona para download da ameaça em uma URL gerada dinamicamente usando o DGA.

Além de dificultar o bloqueio por tecnologias de reputação, o DGA também inviabiliza o bloqueio manual em tecnologias de firewall/proxy que não possuem features avançadas para detecção e bloqueio automático.

O envio de links maliciosos no corpo da mensagem ou em arquivos anexos é outra forma efetiva dos cibercriminosos disseminarem o ataque. Diversos fabricantes ainda baseiam suas detecções em reputação de URL’s, o que se provou ineficaz quando se fala de DGA ou encurtadores como bit.ly, go.gl, ow.ly e mais recentemente a mescla destes com gTLDs.

Boas práticas — É recomendada a avaliação da real necessidade da liberação de todos os domínios .top e/ou .xyz. Outra alternativa é, caso seja possível, o bloqueio de todos os domínios e posterior liberação sob-demanda. Ressalto que nem todos estes gTLDs são maliciosos, porém diante dos vetores de infecção analisados, milhares já são usados maliciosamente.

Em casos de prevenção aos golpes phishing, é essencial verificar o sender, links na mensagem e colocar na prática as dicas listadas pelo time de segurança.

O uso de tecnologias que detectam e bloqueiam ameaças avançadas antes de chegarem ao usuário é de suma importância. Tecnologias que possibilitam o seguir o link presente no e-mail e baixar o arquivo malicioso, podem detectar por comportamento em sandbox customizada se o email é malicioso ou não. Dessa forma, é possível fazer o bloqueio da mensagem antes que seja entregue ao destinatário. Importante aliado na defesa contra este tipo de ameaça que, infelizmente, só deverá aumentar no próximos anos.

Para pesquisa completa, acesse: http://blog.trendmicro.com.br/gtld-dominios-genericos-e-sites-fraudulentos-uma-conexao-perigosa.

. Por: Joelson Soares, especialista em segurança e ameaças da Trend Micro Brasil.