Secondo gli esperti dell’azienda di sicurezza Endgame gruppi di criminali informatici stanno acquistando numerosi domini con estensione .om con l’intento di condurre attacchi noti come typosquatting.
Molto spesso gli utenti in rete commettono errori di battitura quando digitano un indirizzo Internet nel browser e i criminali informatici cercano di approfittare di questi errori per dirottare gli ignari utenti verso siti da loro gestiti, che sono di solito una copia dei siti legittimi e sono utilizzati per servire malware oppure per attività di phishing. I criminali informatici registrano quindi un nome di dominio molto simile a quello di un dominio legittimo ed esistente, meglio se visitato da un numero considerevole di utenti.
Perché i domini dell’Oman?
Questi domini terminano per .om, ma proprio l’estensione .om potrebbe essere la risultante di un errore di battitura quando l’utente vuole visitare un dominio .com.
Gli esperti dell’azienda Endgame hanno scoperto che più di 300 domini sono stati acquistati dal crimine informatico, questi domini presentano la caratteristica di avere i nomi delle principali aziende occidentali come Dell, Citibank, Netflix e perfino Gmail.
Quindi immaginate che si voglia visitare la pagina di Dell e che per un errore di battitura finisca su dell.om invece che dell.com, a quel punto gli attaccanti potrebbero colpirvi in diversi modi.
Secondo Endgame questa campagna di attacchi di typosquatting è particolarmente insidiosa, iniziata in febbraio potrebbe continuare nelle prossime settimane.
Questa particolare campagna sembrerebbe aver preso di mira gli utenti Mac OS X, i criminali hanno messo a punto domini con estensione .om in grado di servire un malware agli ignari visitatori. La tecnica utilizzata è semplice: quando l’utente atterra sul sito gestito dai criminali gli viene proposto un falso aggiornamento di Adobe Flash ma in realtà si tratta un malware con finalità pubblicitarie noto come Genieo.
Genieo appartiene alla famiglia degli adware, viene diffuso mascherandolo alle vittime come un pacchetto di aggiornamento ad un software di uso comune come Adobe Flash. Quando la vittima accetta di installare il pacchetto, Genieo installa un’estensione nei vari browser supportati e presenti sulla macchina della vittima.
L’attacco è efficace anche contro utenti Windows, questi ultimi potrebbero essere inondati di messaggi che cercano di indurli a scaricare ed installare il software malevolo.
Le indagini condotte dagli esperti di sicurezza confermano l’evoluzione del preoccupante fenomeno: gli ultimi attacchi sono stati condotti utilizzando 15 differenti hosting provider nella maggior fisicamente locati in New Jersey.
Un’altra peculiarità di questi attacchi consiste nella natura dei server collegati ai domini acquistati dei criminali. Tali server sono spesso macchine legittime non adeguatamente protette e pertanto abusate dagli attaccanti. Altro elemento inquietante è che proprio lo scarso livello di protezione di queste macchine che potrebbe essere sfruttato da altri bad actor per attività ancora più pericolose di quelle condotte dagli attori dietro l’originaria campagna di typosquatting.
Vi invito quindi a fare molta attenzione quando digitate un indirizzo nel browser, i criminali informatici potrebbero essere pronti a colpirvi. Questa la lista completa dei domini sospetti.
Facebook Comments