Contenido Exclusivo

Actores maliciosos utilizan la suplantación de dominios para burlar controles antispam

Infoblox Threat Intel, la unidad de inteligencia de seguridad de Infoblox, ha hecho público un informe en el que analiza el modo en que actores maliciosos están utilizando la suplantación de dominios (domain spoofing) antiguos o desatendidos para burlar mecanismos de seguridad, incluyendo controles antispam, para incrementar la difusión y alcance de sus ataques, haciendo que los correos electrónicos que sirven de vector de ataque parezcan legítimos.

Los investigadores de Infoblox Threat Intel han descubierto el uso de nuevas y sofisticadas técnicas de spam a través de correo electrónico, con mensajes que contienen archivos adjuntos o enlaces dañinos diseñados para infectar sistemas con malware o robar información confidencial. El hecho de utilizar dominios suplantados pertenecientes a entidades legítimas y reconocidas como remitente de estas comunicaciones incrementa notablemente las posibilidades de que estos correos maliciosos lleguen a la bandeja de entrada de los destinatarios, al burlar con más facilidad los filtros antispam y otras medidas de seguridad.

Este descubrimiento es un paso adelante en la lucha contra este tipo de amenazas, que se inició a partir de la identificación por parte de Infoblox Threat Intel del agente malicioso bautizado como Muddling Meerkat. La identificación de este actor fue posible gracias a la colaboración de usuarios que compartieron con los investigadores datos de tráfico que mostraban el comportamiento del mismo. Ello pone de manifiesto la importancia de la colaboración en materia de ciberseguridad, ya que compartir datos e información puede facilitar la detección y mitigación de amenazas.

El modo en que se utilizan dominios suplantados como plataforma para reforzar campañas de spam consiste básicamente en la falsificación de la dirección del remitente de correo electrónico para que parezca provenir de una entidad legítima. Los suplantadores utilizan habitualmente dominios antiguos y desatendidos, y así evadir los mecanismos de seguridad que se basan en la comprobación de la antigüedad del dominio del remitente para poder identificarlo como spam malicioso. Aunque existen varios mecanismos diseñados para proteger a los usuarios del spam en general y de la suplantación de identidad en particular, los investigadores descubrieron que estos mecanismos no siempre funcionan y la suplantación de identidad todavía se utiliza aún de forma generalizada.

Algunos casos de uso identificados

• Campañas de phishing con códigos QR: estas campañas están dirigidas a residentes en China y utilizan códigos QR incorporados a archivos adjuntos para llevar a las víctimas a sitios de phishing. Las campañas también aprovechan los algoritmos de generación de dominios registrados (RDGA) para crear dominios de corta duración.

• Campañas de phishing en Japón: dirigidas a usuarios japoneses, utilizan de forma fraudulenta los nombres de marcas muy conocidas como Amazon y SMBC (uno de los bancos más grandes de Japón) para robar credenciales de inicio de sesión a las víctimas. Los atacantes utilizan sistemas de distribución de tráfico (TDS) para redirigir a las víctimas a páginas de inicio de sesión falsas y evitar la detección por parte de las empresas de seguridad.

• Campañas de extorsión: los cibercriminales informan a la víctima de que su dispositivo está comprometido y exigen el pago de una recompensa en Bitcoins a cambio de no divulgar determinada información En este caso, la suplantación de identidad alcanza un grado mayor de sofisticación, ya que los atacantes falsifican la dirección de correo electrónico del destinatario para parecer más convincentes.

Por último, los investigadores han identificado una campaña, aparentemente inocua y de la que no se ha conseguido averiguar aún el propósito. Se trata de una campaña de spam, llevada a cabo mediante el uso fraudulento del nombre de la empresa de transportes china Shanghai Yakai y que realiza envío masivo de correos con archivos adjuntos Excel, en apariencia inofensivos.

Lo Más Reciente

Freshworks designó a Srinivasan Raghavan como director de productos

Freshworks designó a Srinivasan Raghavan como su nuevo Director...

El 79% de las empresas mexicanas ha sido víctima de intentos de fraude

El fraude digital en América Latina ha alcanzado niveles...

Tendencias en ciberseguridad para 2025 y más allá: adaptarse a un entorno en cambio constante

Si se analiza con atención el entorno que predomina...

Newsletter

Recibe lo último en noticias e información exclusiva.

Freshworks designó a Srinivasan Raghavan como director de productos

Freshworks designó a Srinivasan Raghavan como su nuevo Director de Producto (CPO) con más de dos décadas de experiencia de liderazgo en la industria...

Ciberdelincuentes anuncian filtración masiva de datos de ubicación y amenazan con publicarlos

Se ha reportado que en el foro ruso de delitos informáticos, XSS, ciberdelincuentes declararon haber logrado vulnerar a Gravy Analytics, empresa matriz de Venntel,...

El 79% de las empresas mexicanas ha sido víctima de intentos de fraude

El fraude digital en América Latina ha alcanzado niveles de sofisticación sin precedentes, imponiendo desafíos colosales a empresas de todos los sectores. Trully by...