El dominio de nivel superior .com continúa dominando el paisaje cibercriminal como el vehículo principal para alojar sitios web de phishing de credenciales, manteniendo su posición como la TLD más abusada por los actores de amenaza en todo el mundo.
La inteligencia reciente indica que los actores maliciosos aprovechan la reputación confiable y el reconocimiento generalizado de los dominios .com para engañar a las víctimas para que entreguen credenciales de inicio de sesión delicadas en diversas plataformas y servicios.
Los ciberdelincuentes explotan el .com TLD a través de vectores de ataque sofisticados de varias etapas que comienzan con correos electrónicos de phishing cuidadosamente elaborados que contienen URL de primera etapa integradas en comunicaciones aparentemente legítimas.
Estos enlaces iniciales redirigen a las víctimas a las URL de la segunda etapa donde se produce la cosecha de credenciales reales, creando un enfoque en capas que ayuda a evadir los sistemas de detección y aumenta las tasas de éxito de la campaña.
La prevalencia del abuso del dominio .com proviene de su aceptación universal y la confianza psicológica que los usuarios colocan en esta extensión familiar.
A diferencia de los TLD específicos del país que pueden generar sospechas, los dominios .com se mezclan sin problemas con el tráfico web legítimo, lo que los hace ideales para operaciones maliciosas sostenidas dirigidas a audiencias globales en múltiples sectores e industrias.
Página de phishing de credencial (fuente – Cofense)
Investigadores de cofensa identificado que los actores de amenaza que utilizan los dominios .com demuestran una consistencia notable en sus preferencias de orientación, con servicios relacionados con Microsoft que representan la abrumadora mayoría de las marcas falsificadas en campañas de phishing de credenciales.
Este patrón refleja la ubicuidad de las soluciones empresariales de Microsoft y la naturaleza de alto valor de las credenciales corporativas para los ataques posteriores.
Patrones de infraestructura y alojamiento
La infraestructura técnica que respalda el phishing de credencial basado en .com revela sofisticadas medidas de seguridad operativa empleadas por los actores de amenaza moderna.
El análisis de los dominios .com maliciosos demuestra un uso extenso de los servicios de alojamiento en la nube, particularmente Cloudflare, que proporciona confiabilidad y anonimato para las operaciones penales.
El patrón de alojamiento generalmente implica dominios base legítimos con subdominios generados dinámicamente que aparecen como cadenas alfanuméricas aleatorias en lugar de texto legible por humanos.
Ejemplo de estructura del subdominio malicioso: https://ag7sr.legitimatesite.com/login https://md6h60.businessdomain.com/secure
Estos subdominios organizan páginas de phishing de credenciales completamente funcionales que incorporan técnicas de evasión avanzada, incluidos los sistemas Cloudflare Turnstile CaptCha que tienen propósitos de doble doble para aparecer legítimos mientras potencialmente filtran escáneres de seguridad automatizados.
Los dominios base a menudo permanecen inalcanzables o muestran contenido benigno, mientras que los subdominios cosechan activamente credenciales a través de réplicas convincentes de portales de inicio de sesión populares.
El patrón de generación de subdominios típico observado en las campañas de phishing basadas en .com, que muestra la naturaleza pseudo-aleatoria de estos puntos finales maliciosos utilizados por los actores de amenaza para maximizar su efectividad operativa al tiempo que minimiza los riesgos de detección.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
