Nuevo TLD .zip en la mira por ciberactores

Recientemente se ha identificado la creación de un nuevo TLD (Top Level Domain) que permite la generación de dominios finalizados en .zip, lo que coincide exactamente con una ya conocida extensión de archivos comprimidos y que actores maliciosos están utilizando para levantar infraestructura maliciosa. 

Creación de TLD 

Durante comienzos del mes de mayo, Google anunció la creación de una serie de nuevos TLD bajo su administración y que ya lejos de ser referencia directa a nombres de países, estos son creados con diferentes motivos, principalmente de marketing de forma que sean cada vez más ad hoc al servicio que se presta y las necesidades de los usuarios.

Ante esto, Google recientemente ha agregado los siguientes:

• [.]dad
• [.]phd
• [.]prof
• [.]esq
• [.]foo
• [.]zip
• [.]mov
• [.]nexus

Uso malicioso del TLD 

Si bien a simple vista esto no da mayores luces de un problema de seguridad, el incorporar TLD que mantengan el mismo nombre de una extensión de archivos como .zip o .mov generan confusión en usuarios menos experimentados, lo cual con el transcurso de los días se ha vuelto una realidad más palpable, ya que se han registrado una serie de dominios que hacen referencia a nombres de archivos comúnmente utilizado en campañas maliciosas ya sea para campañas de phishing o descarga de cargas útiles, como por ejemplo, el nombre factura en diferentes idiomas, así como nombres de diferentes softwares comunes o sistemas operativos y actualizaciones de los mismos:

A continuación, algunos ejemplos:

• Microsoft-update[.]zip
• microsoftoutlook[.]zip
• Office365-update[.]zip
• Officeupdate[.]zip
• Software-update[.]zip
• Microsoftdefender[.]zip
• rapid7setup-windows64[.]zip
• sentinelone-installer[.]zip
• factura[.]zip
• Invoice[.]zip
• officeupdate[.]zip
• password[.]zip
• explorer[.]zip
• cobaltstrike[.]zip
• Agentinstall[.]zip
• pegasus[.]zip
• attachment[.]zip
• anexo[.]zip
• factura[.]zip
• msoffice[.]zip
• outlook[.]zip
• o365[.]zip
• firefox[.]zip
• vpn[.]zip
• anydesk[.]zip
• teamviewer[.]zip
• virtualbox[.]zip
• vmware[.]zip
• install[.]zip
• update[.]zip
• iso[.]zip
• kali[.]zip
• mssql[.]zip
• sql[.]zip
• antivirus[.]zip
• macos[.]zip

A continuación el registro WhoIs, donde se puede evidenciar que este dominio es administrado por Google.

TLDs con incidencia maliciosa

Este tipo de eventos no es nuevo y permite que actores maliciosos generen dominios  con nombres de entidades reales o altamente creíbles, pero administradas maliciosamente, de forma que llama a la confusión de los usuarios para hacerlos caer en el engaño.

Entre los Top Level Domain altamente utilizados para campañas maliciosas se destacan:

• [.]top
• [.]xyz
• [.]icu

Apreciación

Dados los recientes acontecimientos, es altamente esperable que este comportamiento se mantenga en incremento y se vincule con nuevos TTPs de actores de amenaza, así como es de esperar que desde diferentes organizaciones tecnológicas continúen creando y adjudicando el control de nuevos TLD que sin duda, podrían coincidir nuevamente con extensiones de archivos.

Ante esto, surge la interrogante de cuáles son las razones o necesidades para generar este tipo de dominios ya que sin duda las compañías expertas en tecnología mantienen capacidades suficientes para identificar y prevenir potenciales problemas de seguridad y evitar su uso, ya que pese a adaptarse sus clientes para suplir sus necesidades, le brindan una colaboración importante a actores maliciosos para el desarrollo de actividades ilícitas.

Por tanto, debido a la reciente aparición y su escaso uso, estos TLD aún no son utilizados para fines oficiales de forma masiva, por tanto, debieran ser bloqueados en su totalidad en tecnologías de seguridad a menos que excepciones específicas requieran lo contrario, de esta forma se mitiga en gran medida esta amenaza.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.