Perché i criminali informatici stanno acquistando domini riservati all’Oman?

Secondo gli esperti dell’azienda di sicurezza Endgame gruppi di criminali informatici stanno acquistando numerosi domini con estensione .om con l’intento di condurre attacchi noti come typosquatting.

Molto spesso gli utenti in rete commettono errori di battitura quando digitano un indirizzo Internet nel browser e i criminali informatici cercano di approfittare di questi errori per dirottare gli ignari utenti verso siti da loro gestiti, che sono di solito una copia dei siti legittimi e sono utilizzati per servire malware oppure per attività di phishing. I criminali informatici registrano quindi un nome di dominio molto simile a quello di un dominio legittimo ed esistente, meglio se visitato da un numero considerevole di utenti.

Perché i domini dell’Oman?

Questi domini terminano per .om, ma proprio l’estensione .om potrebbe essere la risultante di un errore di battitura quando l’utente vuole visitare un dominio .com.

Gli esperti dell’azienda Endgame hanno scoperto che più di 300 domini sono stati acquistati dal crimine informatico, questi domini presentano la caratteristica di avere i nomi delle principali aziende occidentali come Dell, Citibank, Netflix e perfino Gmail.

Quindi immaginate che si voglia visitare la pagina di Dell e che per un errore di battitura finisca su dell.om invece che dell.com, a quel punto gli attaccanti potrebbero colpirvi in diversi modi.

Secondo Endgame questa campagna di attacchi di typosquatting è particolarmente insidiosa, iniziata in febbraio potrebbe continuare nelle prossime settimane.

Questa particolare campagna sembrerebbe aver preso di mira gli utenti Mac OS X, i criminali hanno messo a punto domini con estensione .om in grado di servire un malware agli ignari visitatori. La tecnica utilizzata è semplice: quando l’utente atterra sul sito gestito dai criminali gli viene proposto un falso aggiornamento di Adobe Flash ma in realtà si tratta un malware con finalità pubblicitarie noto come Genieo.

Genieo appartiene alla famiglia degli adware, viene diffuso mascherandolo alle vittime come un pacchetto di aggiornamento ad un software di uso comune come Adobe Flash. Quando la vittima accetta di installare il pacchetto, Genieo installa un’estensione nei vari browser supportati e presenti sulla macchina della vittima.

flashplayer

L’attacco è efficace anche contro utenti Windows, questi ultimi potrebbero essere inondati di messaggi che cercano di indurli a scaricare ed installare il software malevolo.

Le indagini condotte dagli esperti di sicurezza confermano l’evoluzione del preoccupante fenomeno: gli ultimi attacchi sono stati condotti utilizzando 15 differenti hosting provider nella maggior fisicamente locati in New Jersey.

Un’altra peculiarità di questi attacchi consiste nella natura dei server collegati ai domini acquistati dei criminali. Tali server sono spesso macchine legittime non adeguatamente protette e pertanto abusate dagli attaccanti. Altro elemento inquietante è che proprio lo scarso livello di protezione di queste macchine che potrebbe essere sfruttato da altri bad actor per attività ancora più pericolose di quelle condotte dagli attori dietro l’originaria campagna di typosquatting.

Vi invito quindi a fare molta attenzione quando digitate un indirizzo nel browser, i criminali informatici potrebbero essere pronti a colpirvi. Questa la lista completa dei domini sospetti.

Facebook Comments

Previous articleTED nelle scuole italiane: quali opportunità?
Next article10 anni di Twitter: ce ne saranno altri 10?
Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della cyber security. La passione per la scrittura e la forte convinzione che la sicurezza sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.” E' membro dei gruppi di lavoro del portale “The Hacker News" e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste. E' membro del gruppo Threat Landscape Stakeholder Group dell'agenzia ENISA (European Union Agency for Network and Information Security). Ha pubblicato due libri "The Deep Dark Web" e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.

LEAVE A REPLY

Please enter your comment!
Please enter your name here