Los expertos temen la suplantación de identidad con los nuevos dominios .zip y .mov de Google

Todos estamos familiarizados con los sitios web que tienen sufijos como .com, .net y .org. Estos sufijos se denominan dominios de nivel superior (TLD) y, según la Autoridad de Asignación de Números de Internet (IANA), hay casi 1.500 TLD diferentes gestionados por varios registros. A lo largo de los años se ha ampliado la lista de TLD con añadidos como .xyz, .io, .ai y otros.

Aunque los TLD en sí son inofensivos, los piratas informáticos y los estafadores suelen combinar nombres de dominio y TLD para crear sitios web y enlaces maliciosos. Por ejemplo, nada impide que un estafador compre un nombre de dominio como "amazon12[.]net" y lo utilice para crear un sitio web o direcciones de correo electrónico maliciosos.

El abuso de los TLD está muy extendido en las campañas dephishing, en las que puede parecer que un correo electrónico procede de una dirección de correo electrónico oficial, pero en realidad se envía desde un ID de correo electrónico de imitación, por ejemplo "order-update@amazon12[.]net". Estas tácticas funcionan porque cuando alguien ve el nombre de una marca de confianza en una URL o dirección de correo electrónico, es más probable que haga clic en enlaces que conducen a sitios web y archivos maliciosos.

El nuevo TLD '.Zip' crea controversia para Google

En mayo de 2023, Google Registry anunció 8 nuevos dominios de nivel superior, a saber, .dad, .phd, .prof, .esq, .foo, .zip, .mov y .nexus. Los expertos en ciberseguridad alertaron sobre dos de estos dominios de primer nivel, .zip y .mov, por ser fácilmente explotables por piratas informáticos, estafadores y spammers.

Las críticas se deben a que .zip y .mov son dos de las extensiones de formato de archivo informático más populares. Que los TLD sean idénticos a extensiones de archivo es un problema ya existente: .com es también un formato de archivo ejecutable, la extensión polaca .pl representa también scripts Perl y .sh representa tanto a Santa Helena como a scripts de shell Unix. Sin embargo, la ubicuidad de los formatos de archivo .zip y . mov hace que estos nuevos TLD sean mucho más potencialmente dañinos.

.Zip es la extensión de archivos comprimidos y .Mov es una de las extensiones de archivos de vídeo más comunes. Estos tipos de archivos se incluyen a menudo en archivos adjuntos de correo electrónico y, por lo tanto, un ciberdelincuente podría teóricamente comprar un dominio .zip con el mismo nombre que un nombre de archivo de uso común, como "report.zip" y dirigir a las víctimas por correo electrónico a un sitio de phishing que contenga malware.

La amenaza aumenta cuando las plataformas de mensajería y los sitios de redes sociales convierten automáticamente los nombres de archivo con extensiones .zip y .mov en URL. En el siguiente ejemplo de Twitter, al enviar a alguien instrucciones para abrir un archivo zip y acceder a un archivo MOV, los nombres de archivo se convierten en URL.

Fuente: BleepingComputer

El dominio .Zip ya se utiliza para señuelos de phishing

Netcraft ha investigado los registros existentes del dominio .zip y ha confirmado que ya existen pruebas de actividad fraudulenta. La investigación descubrió 5.000 dominios registrados que utilizan .zip y se descubrieron ataquesde phishing en cinco de estos dominios suplantando marcas como Google, Microsoft y Okta.

microsoft-office[.]zip mostraba inicialmente "This is not a microsoft page" antes de modificarse para parecerse a una página de inicio de sesión real de Microsoft una hora más tarde.

Paneles de inicio de sesión mostrados en microsoft-office[.]zip (Fuente: Netcraft)

Hay muchos dominios registrados que probablemente sean registros de mala fe, entre los que se incluyen:

• Dominios que contienen nombres de marcas conocidas
• Dominios que mencionan "installer" o "update
• Dominios que mencionan bancos por su nombre, como bankofamericasecurities[.]zip
• URL como "attachment[.]zip" o "video[.]mov" que pueden incluirse en correos electrónicos en los que la víctima espera descargar un archivo, pero en su lugar se le enlaza con el dominio
  Dominios que contenían o redirigían a un archivo .zip. Al menos dos eran bombas zip desplegadas para desactivar el software antivirus.

Google respondió a las preocupaciones sobre el dominio .zip con la siguiente declaración.

"El riesgo de confusión entre nombres de dominio y nombres de archivo no es nuevo. Por ejemplo, los productos Command de 3M utilizan el nombre de dominio command.com, que también es un programa importante en MS DOS y en las primeras versiones de Windows. Las aplicaciones tienen mitigaciones para esto (como Google Safe Browsing), y estas mitigaciones serán válidas para TLD como .zip.

Al mismo tiempo, los nuevos espacios de nombres ofrecen más oportunidades para la asignación de nombres, como community.zip y url.zip. Google se toma muy en serio el phishing y el malware, y el Registro de Google cuenta con mecanismos para suspender o eliminar dominios maliciosos en todos nuestros TLD, incluido .zip. Seguiremos vigilando el uso de .zip y otros TLD y, si surgen nuevas amenazas, tomaremos las medidas adecuadas para proteger a los usuarios".

Aunque se ha pedido a Google que revoque estos nuevos TLD debido a posibles abusos, parece que están aquí para quedarse. Comprueba siempre los enlaces cuidadosamente antes de hacer clic en ellos y evita hacer clic en enlaces de correos electrónicos y mensajes de texto.