Todos conhecemos os TLD (Top Level Domains) que compõe a parte final dos endereços da Internet. Até 2011, apenas 22 terminações de domínio eram permitidas, dentre delas: .com, .net, .gov, .edu, .mil, .org.
Em 2012 o ICANN (Internet Corporation for Assigned Names and Numbers) lançou o programa gTLD (generic TLD) que aumentou para mais de 1.000 o número de possíveis terminações de domínio para empresas de diversos segmentos. Alguns exemplos: .moto, .hospital, .radio, .shopping, .games, .passagens, .cafe, .download, .ltda, .gratis, .dental, .social, .moda, entre outros; a lista completa pode ser acessada no site do ICANN.
De acordo com o ICANN, o programa de novos gTLDs é uma iniciativa coordenada que permite a expansão do sistema de nomes de domínio. Com a introdução destes domínios de primeiro nível (TLD), o programa visa aumentar a inovação, a concorrência e a escolha do consumidor. Além disso, como resultado do programa, muitas novas proteções foram inseridas para ajudar no apoio de uma Internet segura, estável e resiliente.
No entanto, no relatório de abuso de DNS do ICANN lançado em 2016, a Architelos – empresa de consultoria e gerenciamento de gTLD’s – noticiou o primeiro uso malicioso – ocorrido em fevereiro de 2014 – envolvendo um domínio deste tipo. De lá pra cá, este tipo de ataque cresceu dramaticamente.
No site da NTLD Stats, ao filtrar os dados para o período de janeiro de 2016 a maio de 2017, é possível constatar que os domínios mais registrados são. xyz e .top. Coincidência ou não, quase 50% dos casos de fraude digital estão associados ao domínio .top, segundo dados do levantamento da NTLD Stats.
A própria dinâmica da criação de um novo gTLD explica bastante o uso dos domínios genéricos para fins maliciosos:
Primeiramente, a organização interessada envia o pedido ao ICANN, que avalia e julga a viabilidade e concessão do domínio. Uma vez criado o novo domínio, a organização pode oferecer seu uso para outras partes interessadas, mas sempre sob a responsabilidade de gerenciar estas concessões.
Com a enorme popularidade das novas extensões, muitas APIs foram criadas para facilitar o processo e gestão de uso por terceiros. A problemática surge quando esta automação aliada à enorme expansão de URLs baseadas nos novos gTLDs, torna mais fácil a ação de atacantes maliciosos.
E de que forma eles fazem isso? Muitos usam estas ferramentas para criar dezenas de sites clonados de caráter malicioso com o intuito de roubar dados de usuários, vítimas que muitas vezes nem percebem a real natureza do site onde estão.
Outro dado reportado no último relatório da APWG (Anti-Phishing Working Group) é que 2016 foi o ano com maior quantidade de ataques de phishing na história. Apenas de 2015 para 2016 houve um aumento de 65% nos ataques e inclui o gráfico abaixo, com os setores mais afetados da indústria:
O Ataque
Esta informação anterior se mostra necessária pois pretende contextualizar o leitor sobre um tipo de ataque de phishing sofisticado monitorado recentemente: desde o último trimestre de 2016, pude detectar a ampla utilização dos domínios .top e .xyz como vetor de infecção em diversas mensagens de phishing para disseminação de ransomware e trojans bancários aqui no Brasil.
Este link já era conhecido em nossa base de reputação de URLs e foi classificado como vetor para disseminação de ransomware. Por meio do ThreatConnect foi possível obtermos informações como localização do servidor malicioso e seu tempo de atividade.
Ao buscar na Internet por um domínio similar, encontramos o global-cobranca.com.br:
Percebe-se então algo bem elaborado para os padrões de ataques de phishing genéricos: o registro do gTLD globalcobranca.top, similar a um domínio já existente, com um assunto relacionado à atuação da empresa real e com um sender também relativo ao assunto do e-mail, com o intuito de promover maior credibilidade na mensagem. Este padrão de ataque se repetiu e continuou com diversos senders e domínios tanto no envio quanto no armazenamento das ameaças.
Técnica DGA
Outra técnica para diversificar ainda mais o ataque, foi o DGA (Domain Generated Algorithm), uma técnica já conhecida que consiste basicamente na geração e conexão automática de domínios.
O site da Nota Fiscal Eletrônica é real e é extremamente semelhante à URL nfefazenda.top. Logo, o usuário pode muito facilmente pensar que trata-se de uma mensagem válida.
O link na mensagem direciona para download da ameaça em uma URL gerada dinamicamente usando o DGA.
Além de dificultar o bloqueio por tecnologias de reputação, o DGA também inviabiliza o bloqueio manual em tecnologias de firewall/proxy que não possuem features avançadas para detecção e bloqueio automático.
O envio de links maliciosos no corpo da mensagem ou em arquivos anexos é outra forma efetiva dos cibercriminosos disseminarem o ataque. Diversos fabricantes ainda baseiam suas detecções em reputação de URLs, o que se provou ineficaz quando se fala de DGA ou encurtadores como bit.ly, go.gl, ow.ly e mais recentemente a mescla destes com gTLDs.
Boas práticas
É recomendada a avaliação da real necessidade da liberação de todos os domínios .top e/ou .xyz. Outra alternativa é, caso seja possível, o bloqueio de todos os domínios e posterior liberação sob demanda. Ressalto que nem todos estes gTLDs são maliciosos, porém diante dos vetores de infecção analisados, milhares já são usados maliciosamente.
Em casos de prevenção aos golpes phishing, é essencial verificar o sender, links na mensagem e colocar na prática as dicas listadas pelo time de segurança.
O uso de tecnologias que detectam e bloqueiam ameaças avançadas antes de chegarem ao usuário é de suma importância. Tecnologias que possibilitam o seguir o link presente no e-mail e baixar o arquivo malicioso, podem detectar por comportamento em sandbox customizada se o e-mail é malicioso ou não. Dessa forma, é possível fazer o bloqueio da mensagem antes que seja entregue ao destinatário. Importante aliado na defesa contra este tipo de ameaça que, infelizmente, só deverá aumentar nos próximos anos.
* Joelson Soares é especialista em segurança e ameaças da Trend Micro Brasil