A Unit 42 (inteligência de ameaças da Palo Alto Networks) lançou uma pesquisa sobre criminosos que imitam domínios de grandes marcas, incluindo Facebook, Apple, Amazon e Netflix para enganar os consumidores.
O sistema de detecção de ocupação da Palo Alto Networks descobriu que 13.857 domínios de ocupação foram registrados em dezembro de 2019, uma média de 450 por dia. Descobrimos que 2.595 (18,59%) nomes de domínio ocupados são maliciosos, muitas vezes distribuindo malware ou conduzindo ataques de phishing, e 5.104 (36,57%) domínios ocupados que estudamos apresentam um alto risco para os usuários que os visitam, o que significa que eles têm evidências de associação com URLs maliciosos dentro do domínio ou estão utilizando hospedagem à prova de balas.
De dezembro de 2019 até o momento, a Unit 42 descobriu criminosos cibernéticos criando domínios maliciosos com diferentes objetivos: phishing, distribuição de malware, comando e controle (C2), esquemas de re-faturamento, programas potencialmente indesejados (PUP), esquemas de suporte técnico, esquemas de renovação e domínio estacionamento. Marcas impactadas incluem: Wells Fargo, Amazon (Índia), Samsung, Microsoft, Netflix (Brasil), Walmart, Facebook e Royal Bank of Canada.
A Unidade 42 também classificou os 20 domínios mais abusados em dezembro de 2019, que descobriu que o Paypal foi o mais abusado, seguido pela Apple. Ainda estão na lista marcas importantes como Google, Instagram, Dropbox e TripAdvisor. A Unidade 42 descobriu que os cibercriminosos preferem alvos lucrativos, como os principais mecanismos de busca e mídia social, sites financeiros, de compras e bancários, onde os consumidores são alvos de phishing e golpes para roubar credenciais confidenciais ou dinheiro.
Também classificamos os 20 domínios mais abusados em dezembro de 2019 com base na taxa de malware ajustada, o que significa que um domínio é alvo de muitos domínios invasores ou a maioria desses domínios invasores são confirmados como maliciosos. Descobrimos que os invasores de domínio preferem alvos lucrativos, como os principais mecanismos de pesquisa e mídia social, sites financeiros, de compras e bancários. Ao visitar esses sites, os usuários geralmente estão preparados para compartilhar informações confidenciais, o que os torna vulneráveis a phishing e golpes para roubar credenciais confidenciais ou dinheiro, caso possam ser enganados para visitar um domínio invasor.
De dezembro de 2019 até hoje, observamos uma variedade de domínios maliciosos com objetivos diferentes:
• Phishing: um domínio que imita o Wells Fargo (secure-wellsfargo [.] Org) visando clientes para roubar informações confidenciais, incluindo credenciais de e-mail e PINs de caixas eletrônicos. Além disso, um domínio que imita a Amazon (amazon-india [.] Online) criado para roubar credenciais de usuário, visando especificamente usuários móveis na Índia.
• Distribuição de malware: um domínio que imita o Samsung (samsungeblyaiphone [.] Com), hospedando malware Azorult para roubar informações de cartão de crédito.
• Comando e controle (C2): Domínios que imitam a Microsoft (microsoft-store-drm-server [.] Com e microsoft-sback-server [.] Com) tentando conduzir ataques C2 para comprometer uma rede inteira.
• Golpe de cobrança: vários sites de phishing que imitam o Netflix (como o netflixbrazilcovid [.] Com) criados para roubar o dinheiro das vítimas oferecendo primeiro um pequeno pagamento inicial para a assinatura de um produto, como pílulas para perder peso. No entanto, se os usuários não cancelarem a assinatura após o período da promoção, um custo muito maior será cobrado em seus cartões de crédito, geralmente US $ 50-100.
• Programa potencialmente indesejado (PUP): Domínios que imitam o Walmart (walrmart44 [.] Com) e Samsung (samsungpr0mo [.] Online) distribuindo PUP, como spyware, adware ou uma extensão de navegador. Eles geralmente realizam alterações indesejadas, como alterar a página padrão do navegador ou sequestrar o navegador para inserir anúncios. Digno de nota, o domínio Samsung parece um site legítimo de notícias educacionais da Austrália.
• Golpe de suporte técnico: Domínios que imitam a Microsoft (como o clube de microsoft-alert [.]) Tentando assustar os usuários e fazê-los pagar por suporte ao cliente falso.
• Golpe de recompensa: um domínio que imita o Facebook (facebookwinners2020 [.] Com), enganando os usuários com recompensas, como produtos gratuitos ou dinheiro. Para resgatar o prêmio, o usuário deve preencher um formulário com seus dados pessoais, como data de nascimento, telefone, ocupação e renda.
• Estacionamento de domínio: um domínio que imita o RBC Royal Bank (rbyroyalbank [.] Com) aproveitando um serviço de estacionamento popular, ParkingCrew, para gerar lucro com base em quantos usuários acessam o site e clicam nos anúncios.
