Estafadores generan ganancias aprovechando dominios gratuitos DotTK

07/09/2018

Estafadores están utilizando dominios gratuitos DotTK para redirigir a los usuarios de sitios vulnerados a blogs falsos creados con el único propósito de mostrar anuncios o estafas de soporte técnico.

Este esquema funciona por atacantes que comprometen sitios web e instalan scripts que redirigen a los visitantes a través de una serie de sitios. Al final de esta cadena de redirección, habrá una estafa de soporte técnico que indique que la computadora está infectada con el virus Zeus o un sitio de blog falso que muestra anuncios emergentes que no se pueden cerrar.

Este esquema fue descubierto por el equipo de investigación Zscaler ThreatLabZ que ha estado monitoreando la estafa durante los últimos meses. Cuando estos sitios se vean comprometidos, tendrán JavasSript de texto plano u ofuscado, inyectado en las páginas web que realizan un redireccionamiento a los dominios gratuitos de DotTK, como se muestra a continuación.

Estos dominios DotTK redirigirán al usuario a un sitio final que muestre la carga útil. Puede ver un video que muestra estos redireccionamientos a continuación y la carga resultante de un sitio de blog falso que muestra anuncios.

Mohd Sadique, un investigador de seguridad de Zscaler, le dijo a BleepingComputer que no se sabe qué métodos se usan actualmente para comprometer los sitios. Según las URL compartidas con BleepingComputer, puede ser a través de vulnerabilidades de Wordpress.

Esta estafa podría estar haciendo 20 mil dólares al mes

Según los investigadores, estas campañas continúan observando una mayor actividad, y con todos los sitios combinados, los actores podrían ganar mucho dinero.

"De acuerdo con nuestro análisis de los datos de esta campaña hasta ahora, estamos estimando al menos 20 mil dólares al mes en ingresos generados solo a partir de actividades de fraude de anuncios", declaró Mohd Sadique, un investigador de seguridad de Zscaler.

Según su investigación, cada sitio está ganando un promedio de $300 por mes. Cuando combine eso con los 72 dominios activos conocidos de DotTK, eso traería más de 21 mil dólares.

"Si tenemos en cuenta que el ingreso mensual promedio de publicidad de un sitio web es de $300, podemos extrapolar que, para 72 dominios, el ingreso mensual podría ser tan alto como $ 21,600". Sadique agregó.

La extensión maliciosa de Chrome registró dominios gratis DotTK

Todos los dominios DotTK analizados parecen haber sido registrados utilizando el servicio de registro de dominios Freenom. Este mismo servicio fue utilizado por una extensión maliciosa en 2017 para registrar dominios gratuitos utilizando cuentas de Gmail de la víctima.

Esta extensión utilizaría Chrome y las credenciales de Gmail guardadas para registrar numerosos dominios gratuitos en la dirección de correo electrónico de la víctima.

Cuando BleepingComputer descubrió esta extensión maliciosa registrando dominios libres y enviándolos a un servidor de comando y control, no se sabía para qué se usaban estos dominios. Muestra cómo un atacante puede automatizar el registro de dominios utilizando las credenciales de la víctima y la dirección IP para dificultar la localización del atacante.

 

Artículos relacionados: