Blog de WatchGuard

Los 4 incidentes con dominios maliciosos más importantes de 2021

Los dominios maliciosos son una técnica cada vez más utilizada por los ciberatacantes como vector de entrada para introducir su malware. Nuestra publicación Internet Security Report Q1 2021 ya detectó un aumento del 281% de dominios bloqueados por DNS Watch con respecto al trimestre anterior y eso que durante el año pasado hubo una importante actividad de este tipo de enlaces que aprovecharon el interés por el COVID-19. 

Espionaje, archivos web, bancos y Redes Sociales 

Hace unos días, Microsoft anunció que había deshabilitado 42 dominios maliciosos creados por el grupo chino APT-15. Conestos enlaces, engañaron a miembros de organizaciones públicas y privadas, think tanks y ONGs relacionadas con derechos humanos: al clicar sobre ellos, facilitaron la entrada de un malware con el que pudieron acceder a sus servidores y obtener información privilegiada sobre intereses industriales y geopolíticos chinos. Por este motivo los analistas creen que China estaba realizando una campaña masiva de ciberespionaje.

Otros grandes incidentes con los dominios durante este año han llegado comprometer webs legítimas y muy conocidas. Por ejemplo, en julio se descubrió que en el portal archive.org (conocida por el buscador de webs antiguas “Way Back Machine”), habían introducido un script malicioso de Powershell en una de sus páginas con un cargador en el que se encontraba el malware AgentTesla de Aggah, vinculado con el grupo APT Gorgon, de origen pakistaní. Los investigadores especulan que se utilizaban las páginas del portal como como alojadores (hosting) del malware para después usarlas en posteriores ciberataques.

El phishing es otra de las técnicas que utilizan habitualmente estos enlaces y el sector bancario suele encontrarse entre los más afectados, porque los beneficios que pueden obtener son muy altos si logran hacerse con las claves de los clientes. Varios clientes de la entidad Chase Personal Banking fueron víctimas de una campaña de este tipo: recibieron un mail simulando con el mensaje “La declaración de su tarjeta de crédito ya está disponible” y un link que llevaba a una landing page falsa que les pedía los datos bancarios. La particularidad de este incidente es que el mail con estos enlaces logró sobrepasar los filtros de Spam de Microsoft Exchange Online Protection y Microsoft Defender para Office 365. 

Facebook también ha sido un canal para el uso de dominios maliciosos durante estos meses. En este caso, los ciberatacantes se sirvieron de las cuentas profesionales de Facebook para poner anuncios que llevaban a dominios que servían como cargador del malware CopperStealer. Una vez inyectado, este malware se quedaba con las credenciales de sus víctimas y los ciberatacantes usaban después sus sistemas como origen para realizar posteriores ciberataques. 

Buenas prácticas y Firewalls 

Todos estos ejemplos relacionados con los dominios maliciosos demuestran que los ciberatacantes utilizan técnicas de ingeniería social cada vez más sofisticadas: no solo engañan a los usuarios, sino que también, como mostró el phishing de Chase personal banking, a veces logran sortear las soluciones  de ciberseguridad más extendidas, como las que proporciona Microsoft.

Por estos motivos, para el próximo año los MSPs deberían implementar soluciones avanzadas para la protección de red de sus clientes que incorporen Firewalls de última generaciónCon ellas, podrán bloquear enlaces sospechosos de manera automatizada y detectar incluso el malware cifrado que pueda circular en sus redes y todo ello gestionado de manera centralizada y muy sencilla. 

En este sentido, una buena práctica para los MSPs y los equipos de IT es que con estas herramientas, generen listados de sitios web de confianza y también categoricen temáticas que son más susceptibles de tener enlaces peligrosos y que no suelan tener relación con la actividad profesional de la empresa (por ejemplo: casas de apuestas o criptomonedas)

Además, los trabajadores deberían contar con unas nociones básicas de ciberseguridad en navegación web y correos electrónicos, como no abrir enlaces desconocidos o que sepan identificar aquellos que pueden resultar más sospechosos.

Si quieres conocer otras tendencias de ciberseguridad, conoce nuestras predicciones para el 2022 en: https://www.watchguard.com/es/wgrd-resource-center/cyber-security-predictions