Domain Parking, utile ma pericoloso. L’opinione di Palo Alto

Unit 42 ha realizzato una nuova ricerca sull’abuso di parked domain negli attacchi cyber.

cybercrime

Da molti anni Palo Alto rileva le attività di domain parking. All’apparenza un servizio utile che però si può rivelare invece pericoloso. I servizi di domain parking sono una soluzione semplice per i proprietari di domini per monetizzare il traffico dei loro siti attraverso pubblicità di terze parti. Si tratta di un servizio innocuo a prima vista, ma questo tipo di domini può rappresentare una minaccia significativa, perché può reindirizzare i visitatori verso pagine pericolose o indesiderate o diventare completamente dannosi in qualsiasi momento.

Da oltre nove anni rileviamo le attività di domain parking. Da marzo a settembre 2020, abbiamo identificato 5 milioni di nuovi domini. Nello stesso arco di tempo, abbiamo osservato che 6 milioni di domini parked sono passati ad altre categorie.

L’1,0% è passato a categorie pericolose (come il phishing o malware), il 2,6% è passato a categorie non sicure per il lavoro (come il gioco d’azzardo) e il 30,6% è passato a categorie sospette (come dubbie o ad alto rischio). Rispetto a un dominio benigno (come informazioni su computer e Internet o acquisti), un dominio parked ha una probabilità otto volte maggiore di cambiare categoria in una delle categorie pericolose di cui sopra.

Domain Parking, utile ma pericoloso

Tra I risultati della ricerca:

  • Monitoraggio dell’attività web degli utenti. Palo Alto Networks ha osservato gli attaccanti che hanno abusato del dominio peoplesvote[.]uk in relazione alle elezioni presidenziali in corso negli Stati Uniti. Gli utenti vengono reindirizzati a un sito web di sondaggi che chiede informazioni sulle preferenze di voto degli utenti di Joe Biden o Donald Trump. Un kit exploit rileva le battiture del browser in modo silenzioso per tracciare l’attività web degli utenti. Da notare che queste pagine sono ancora attive.
  • Diffusione di Emotet tramite e-mail di phishing. Palo Alto Networks ha osservato il ciclo di vita pericoloso del dominio valleymedicalandsurgicalclinic[.]com – non più attivo – nell’ambito di una campagna globale di Emotet. Durante la quale sono stati osservati attacchi contro organizzazioni in vari settori in tutto il mondo, compresi Stati Uniti, Regno Unito, Francia, Giappone, Corea e Italia. L’attacco contro le organizzazioni francesi ha sfruttato anche la pandemia globale. Ha utilizzato Covid19 come oggetto dell’e-mail di phishing. Nessuno di questi attacchi ha avuto successo.

Domain Parking, utile ma pericoloso

  • Abuso del programma di affiliazione di McAfe. Palo Alto Networks ha osservato un dominio, xifinity[.]com, che reindirizza gli utenti verso una landing page abusiva, antivirus-protection[.]com-123[.]xyz. Entrambi i domini sono attualmente attivi. La landing page cerca di ingannare gli utenti facendogli credere che il loro dispositivo sia infetto e che l’abbonamento a McAfee sia scaduto. Cliccando sul pulsante “Procedi” gli utenti saranno reindirizzati a una pagina di download legittima di McAfee che offre un abbonamento antivirus. Palo Alto Networks ritiene che i cyber criminali stiano abusando del programma di affiliazione di McAfee per impossessarsi dei guadagni pubblicitari.

La migliore pratica di sicurezza per le aziende è di tenere traccia di questi domini. Mentre gli utenti dovrebbero assicurarsi di digitare i nomi di dominio correttamente e verificare che i loro proprietari siano affidabili prima di accedervi.