Editor Top
Una campaña de phishing a gran escala basada en typosquatting está dirigida a usuarios de Windows y Android con malware, según una firma de inteligencia de amenazas y un sitio web de seguridad cibernética.
La campaña actualmente en curso utiliza más de 200 dominios de typosquatting que se hacen pasar por 27 marcas para engañar a los internautas para que descarguen software malicioso en sus computadoras y teléfonos. BleepingEquipo informó el domingo.
Firma de inteligencia de amenazas Cyble reveló la campaña la semana pasada en un blog. Informó que los sitios web de phishing engañan a los visitantes para que descarguen aplicaciones falsas de Android que se hacen pasar por Google Wallet, PayPal y Snapchat, que contienen el troyano bancario ERMAC.
BleepingComputer explicó que, si bien Cyble se centró en el malware de Android de la campaña, los mismos actores de amenazas están implementando una operación mucho más grande dirigida a Windows. Esa campaña tiene más de 90 sitios web creados para impulsar malware y robar claves de recuperación de criptomonedas.
Typosquatting es una técnica antigua para redirigir a los viajeros del ciberespacio a sitios web maliciosos. En esta campaña, explicó BleepingComputer, los dominios utilizados son muy parecidos a los originales, con una sola letra intercambiada fuera del dominio o una «s» añadida.
Los sitios de phishing también parecen auténticos, agregó. Son clones de los sitios reales o una imitación suficiente para engañar a un visitante casual.
Por lo general, las víctimas terminan en los sitios al cometer un error tipográfico en una URL ingresada en la barra de direcciones de un navegador, continuó, pero las URL a veces también se insertan en correos electrónicos, mensajes SMS y en las redes sociales.
“Typosquatting no es novedoso”, dijo Sherrod DeGrippo, vicepresidente de investigación y detección de amenazas en punto de pruebauna empresa de seguridad empresarial en Sunnyvale, California.
“Goggle.com enviaba visitantes accidentales a un sitio malicioso con descargas de malware desde 2006”, dijo DeGrippo a TechNewsWorld.
Escala inusual
Aunque la campaña utiliza técnicas de phishing probadas y verdaderas, tiene algunas características distintivas; expertos en seguridad le dijeron a TechNewsWorld.
“El tamaño de esta campaña es inusual, incluso si la técnica es de la vieja escuela”, observó Mike Parkin, ingeniero técnico sénior de Vulcano cibernéticoun proveedor de SaaS para la corrección de riesgos cibernéticos empresariales, en Tel Aviv, Israel.
“Esta campaña en particular parece tener una escala mucho mayor que los típicos intentos de typosquatting”, agregó Jerrod Piker, analista de inteligencia competitiva de instinto profundouna empresa de ciberseguridad de aprendizaje profundo en la ciudad de Nueva York.
Centrarse en las aplicaciones móviles es otra desviación de la norma, señaló Grayson Milbourne, director de inteligencia de seguridad de Soluciones de seguridad OpenTextuna empresa global de detección y respuesta a amenazas.
“La focalización de aplicaciones móviles y sitios web asociados con el objetivo de distribuir aplicaciones maliciosas de Android es algo que no es nuevo, pero no es tan común como el error tipográfico que se dirige a sitios web de software de Windows”, dijo.
Lo interesante de la campaña es su dependencia tanto de los errores tipográficos cometidos por los usuarios como de la entrega intencional de direcciones URL maliciosas a los objetivos, observó Hank Schless, gerente sénior de soluciones de seguridad en Estar atentoun proveedor de soluciones de phishing móvil con sede en San Francisco.
“Esta parece ser una campaña completa con [a] alta probabilidad de éxito si un individuo u organización no cuenta con la seguridad adecuada”, dijo.
Por qué funciona Typosquatting
Las campañas de phishing que explotan el typosquatting no necesitan ser innovadoras para tener éxito, sostuvo Roger Grimes, un evangelista de defensa en SaberBe4un proveedor de capacitación en concientización sobre seguridad en Clearwater, Fla.
“Todas las campañas de typosquatting son bastante efectivas sin necesidad de trucos nuevos o avanzados”, dijo a TechNewsWorld. “Y hay muchos trucos avanzados, como los ataques homoglíficos, que agregan otra capa que podría engañar incluso a los expertos”.
Los homoglifos son caracteres que se parecen entre sí, como la letra O y el cero (0), o la I mayúscula y la l minúscula (EL), que se ven idénticas en una fuente sans serif, como Calibri.
“Pero no encuentras muchos de estos ataques más avanzados porque no los necesitan para tener éxito”, continuó Grimes. “¿Por qué trabajar duro cuando puedes trabajar fácil?”
Typosquatting funciona debido a la confianza, afirmó Abhay Bhargav, director ejecutivo de Ingeniero de AppSecun proveedor de capacitación en seguridad en Singapur.
“La gente está tan acostumbrada a ver y leer nombres conocidos que piensan que un sitio, una aplicación o un paquete de software con el mismo nombre y el mismo logotipo es el mismo que el producto original”, dijo Bhargav a TechNewsWorld.
“La gente no se detiene a pensar en las discrepancias ortográficas menores o las discrepancias de dominio que distinguen el producto original del falso”, dijo.
Algunos registradores de dominio culpables
Piker explicó que es muy fácil cometer errores al escribir una URL, por lo que PayPal se convierte en PalPay.
«Obtendría muchos resultados», dijo, «especialmente porque los ataques de typosquatting generalmente presentan una página web que es esencialmente un clon del original».
“Los atacantes también arrebatan varios dominios similares para asegurarse de que coincidan muchos errores tipográficos diferentes”, agregó.
Los actuales sistemas de registro de dominios tampoco ayudan, afirmó Grimes.
“El problema empeora porque algunos servicios permiten que los sitios web malos obtengan certificados de dominio TLS/HTTPS, lo que muchos usuarios creen que significa que el sitio web está seguro y protegido”, explicó. “Más del 80% de los sitios web de malware tienen un certificado digital. Se burla de todo el sistema de infraestructura de clave pública”.
“Además de eso”, continuó Grimes, “el sistema de nombres de dominio de Internet no funciona, lo que obviamente permite que los registradores de dominios de Internet deshonestos se enriquezcan al registrar dominios que son fáciles de ver y que se utilizarán en algún tipo de ataque de desvío. Los incentivos de ganancias, que recompensan a los registradores por mirar hacia otro lado, son una gran parte del problema”.
Navegadores móviles más susceptibles
Los factores de forma del hardware también pueden contribuir al problema.
“Typosquatting es mucho más efectivo en dispositivos móviles debido a cómo los sistemas operativos móviles están diseñados para simplificar la experiencia del usuario y minimizar el desorden en la pantalla más pequeña”, explicó Schless.
“Los navegadores móviles y las aplicaciones acortan las URL para mejorar su experiencia de usuario, por lo que es posible que la víctima no pueda ver la URL completa en primer lugar, y mucho menos detectar un error tipográfico”, continuó. «La gente no suele obtener una vista previa de una URL en un dispositivo móvil, que es algo que podrían hacer en una computadora al pasar el cursor sobre ella».
Typosquatting es definitivamente más efectivo para el phishing en teléfonos móviles porque las URL no son completamente visibles, estuvo de acuerdo Szilveszter Szebeni, CISO y cofundador de Tresorituna empresa de soluciones de seguridad basadas en el cifrado de correo electrónico de Zúrich.
“Para ejecutar troyanos, no tanto, porque la gente suele usar la aplicación o las tiendas de juegos”, dijo a TechNewsWorld.
Cómo protegerse contra Typosquatting
Para protegerse de convertirse en una víctima del phishing de typosquatting, Piker recomendó a los usuarios que nunca sigan enlaces en mensajes SMS o correos electrónicos de remitentes desconocidos.
También aconsejó tener cuidado al escribir URL, especialmente en dispositivos móviles.
DeGrippo agregó: “En caso de duda, un usuario puede buscar en Google el nombre de dominio establecido directamente en lugar de hacer clic en un enlace directo”.
Mientras tanto, Schless sugirió que las personas confíen un poco menos en sus dispositivos móviles.
“Sabemos instalar soluciones antimalware y antiphishing en nuestras computadoras, pero tenemos una confianza inherente en los dispositivos móviles, por lo que creemos que no es necesario hacer lo mismo en los dispositivos iOS y Android”, dijo.
«Esta campaña es uno de los innumerables ejemplos de cómo los actores de amenazas aprovechan esa confianza en nuestra contra», señaló, «lo que demuestra por qué es fundamental tener una solución de seguridad creada específicamente para las amenazas móviles en su teléfono inteligente y tableta».
