¿Se ha convertido .info en el nuevo .cc?

En abril, los subdominios .co.cc y .cz.cc estaban repletos de sitios web que distribuían malware, y el inusualmente revelador proceso de configuración de los registros DNS en .co.cc y .cz.cc había previsto el lanzamiento de Apple FakeAv. Después, esta configuración DNS dirigió a descargas de FakeAv para Mac. Pero la distribución de FakeAv ha estado disminuyendo de forma constante desde principios de año, y han ocurrido muy pocos acontecimientos importantes en los últimos seis meses. Los operadores de Blackhole y de otros sitios web maliciosos migaron a dominios .info. ¿Han obligado a .info a convertirse en el nuevo .cc?

¿En qué consiste esta dispersión? Bueno…, retrocedamos en el tiempo a principios del año. Los registradores de dominios co.cc y .cz.cc ofrecían registros dns gratuitos y alojamiento muy barato o sin coste alguno. Los distribuidores de malware aprovecharon estos recursos baratos y crearon el paquete de exploits Blackhole utilizando estos nombres de URL para propagar FakeAv y otros programas maliciosos. Los exploits Java se convirtieron en los más efectivos y populares en el paquete Blackhole, seguidos de los exploits que atacaban vulnerabilidades en Adobe Reader y Microsoft HCP. Se dirigió el tráfico a estos paquetes mediante Google Image Search Poisoning, comprometiendo sitios legítimos, redirigiendo los navegadores a los sitios del paquete con iframe inyectados y etiquetas img src, y lanzando campañas publicitarias de malware en los principales proveedores de correo electrónico web. Pero todo lo que sube tiene que bajar.

Estas campañas no duraron mucho. Google descubrió que su imagen y otros servicios de búsqueda estaban infectados por los distribuidores de malware que alojaban sus ataques en subdominios .cc y bloqueó por completo .co.cc y .cz.cc en julio. En agosto se arrestó a un supuesto rey de FakeAv y fundador de Chronopay y se detuvieron algunas operaciones relacionadas. Microsoft también llevó a la corte al dueño y operador de los dominios .cc después de que nuestros analistas de Kaspersky tomaran el control de la red zombi Hlux , que en parte estaba controlada desde el espacio .cc. Todo esto espantó a los criminales y salieron huyendo. Pero necesitaban establecerse en otro lugar, y parece que encontraron un hogar en .info. Mientras que los Trojan.JS.Darduk estaban recibiendo la atención de decenas de miles de usuarios en Estados Unidos y Rusia (Darduk detecta la página principal de algunas versiones específicas y recientes del paquete de exploits Blackhole), casi la mitad de las páginas de Darduk funcionan desde dominios .info. La fuerte tendencia comenzó el 28 y continúa…

Los cientos de
miles de resultados de los navegadores que producen URLs maliciosas que provienen de .info no sólo redirigen allí desde sitios pornográficos, que sería lo más común. Esta vez, la lista también incluye sitios legítimos.

Hay varias cosas que se pueden hacer al respecto: si eres administrador de sistemas, ¿de verdad necesitas que tus usuarios naveguen por sitios .info? Si tienes una versión antigua de Java, Adobe, o todos tus usuarios ejecutan Flash en sus navegadores, ¿necesitan acceder al contenido de dominios .info?

Los dominios .cc eran un lugar barato (casi siempre gratuito), automatizado y cómodo para que se establezcan los operadores de paquetes de exploits que propagan páginas web de Blackhole, FakeAv, troyanos ZeroAccess y spyware Zbot. Por coincidencia, los operadores no respondieron en proporción al gran volumen de usuarios afectados por estos sitios, y la red zombi Hlux en parte estaba controlada desde estos dominios. En algún momento, recibieron demasiada atención. Es notable que sólo hay como una docena de resultados en las búsquedas de Darduk durante las últimas 48 horas desde dominios .cu.cc y .co.cc, y la mayoría provienen de subdominios de dyndns.info. Los resultados de Darduk provienen desde .name, .org y otros, pero las tendencias más pronunciadas son de .info. Y los sitios .ms están distribuyendo todo tipo de programas maliciosos, ya no sólo sitios de exploits de Blackhole. Por supuesto, estamos vigilando estas migraciones de actividad web maliciosa, y sólo el tiempo dirá si .info puede mantenerse limpio y si se comprometen otros dominios de nivel superior.