Scammers têm usado domínios baratos (e squatted) para criar websites mal-intencionados.

Nos últimos tempos, o blog ThreatLabZ tem reportado diversas campanhas em que os atores maliciosos estão a usar domínios top level .tk para disseminar campanhas de phishing e malware (malscan) no mundo inteiro.

Mais recentente, também o blog ZScaler tem reportado incidentes desta natureza. Eles reportam que os criminosos estão a utilizar atualmente domínio barato, registados massivamente com o objetivo de enganar os utilizadores e gerar retorno fácil para seu usufruto.

No artigo publicado, é referido que os criminosos têm utilizado alguns domínios com o padrão some-domain[.]tk/index/?{random-long-int} para distribuir páginas mal intencionadas na Internet, na tentativa de chegar aos utilizadores e infetando-os com malware, ou simplesmente, para obter os seus dados confidenciais.

Segundo os investigadores, “este ano, estamos vendo um comportamento ligeiramente diferente no qual os mesmos padrões de URI estão sendo aproveitados para outros redirecionamentos maliciosos.”

.

Fig-1 Scan redirection chain

Fig. 1: Infection chain 

 

O website é injetado com script malicioso com o objetivo de redirecionar a cadeia.

Fig. 2: Injected scripts

Esses scripts / URLs injetados carregam diferentes tipos de conteúdo em diferentes iterações.

Fig. 3: Redirection chain

No momento, esses domínios .tk estão redirecionando para vários sites falsos, incluindo câmbio (forex), cartão de crédito e assistência médica, mas o criminoso pode facilmente adicionar mais websites falsos de outras categorias.

Fig. 4: Final .tk redirection to fake site

 

Existem mais de 700 domínios .tk alojados em 185.251.39[.]220 e mais de 80 domínios .tk no IP 185.251.39[.]181 associados a estas campanhas.

Também foram notadas campanhas de squatting, em que um domínio gmil[.]com é repsonsável por redirecionar os utilizadores para um scam relacionado à Microsoft Tech Support.

Fig. 5: Google Mail squatted domain leading to Microsoft Tech Support scam

 

The page microsft0x8024f0059rus[.]ml is hosted on 216.10.249[.]196, which is hosting over 400 .ga, .cf, .gq, .ml, and .tk domains; all are involved in Microsoft tech support scam activity.

Em outros casos, os utilizadores são também confrontados com popups maliciosos, que levam a websites relacionados com medicina, serviços de reparação, websites para adultos, etc.

 

In another redirection iteration, we saw adult-themed sites and a fake medicine site claiming to be CNN.

 

 

 

Este tipo de campanhas é distribuída pelos criminosos massivamente através de técnica de engenharia social, como p.ex., phishing e smashing.

Aos utilizadores urge identificarem se a URL distribuída é legítima e não clicarem em fontes desconhecidas, pois esse comportamento poderá colocar em risco a sua privacidade e as suas informações poderão cair nas mãos erradas.

 


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *