Desde ayer se está produciendo una verdadera avalancha de correo basura
que simula ser de registrantes reputados como Enom y Networksolutions.
Bajo la excusa de que el domino está a punto de caducar, su objetivo es
robar las contraseñas de clientes de registrantes y por tanto adueñarse
de sus dominios. Ayer además se dio a conocer que ICANN ha retirado la
licencia a Estdomains, uno de los registrantes supuestamente aliados con
el mundo del malware... ¿Será que los atacantes andan escasos de
dominios?

Se ha observado una avalancha de correos de tipo phishing. Esta vez no
intentan simular portales de entidades bancarias, sino que están
destinados a simular registrantes reputados de dominios como Enom y
Networksolutions. El asunto del correo suele ser: "Attention: domain
will be expired soon." En su interior en un cuidado inglés y en texto
plano se avisa al usuario de que su domino está a punto de caducar y que
debe visitar la web del registrante e introducir su usuario y contraseña
para renovar el dominio. En otras ocasiones en el correo se habla de que
a causa de un corte temporal en el servicio, es necesario que el usuario
se autentique.

En cualquiera de los casos el enlace lleva a una página que simula
fielmente el portal de Enom o Networksolutions. Los dominios (adquiridos
para la ocasión y camuflados en dominios de tercer nivel) bajo los que
se alojan estos phishing suelen tener la estructura:
www.enom.com.comXY.biz, o www.networksolutions.com.sysXY.mobi/ siendo XY
números cualesquiera. Aunque esto puede cambiar en cualquier momento.

Si el usuario introduce en estas páginas sus datos, los atacantes podrán
controlar el dominio que la víctima tenga contratado y redirigirlo
limpiamente a cualquier otro servidor, que bien podría tratarse de otro
phishing, o alojar en ese dominio malware. Al ser dominios "legítimos"
del que los usuarios han perdido el control, el efecto es mucho más
"creíble" para las potenciales víctimas que lo visiten.

Hacía tiempo que no se observaba una campaña tan virulenta contra dueños
de domino. Por otro lado (o quizás está relacionado), el pasado martes
ICANN eliminó a Estdomains de su lista de registrantes acreditados:
ya no pueden ejercer más su función. Estdomains siempre ha estado bajo
la sospecha de ser un registrante que se lleva bien con el crimen
organizado en Internet. Una buena parte de los dominios contratados
en esta empresa han servido y sirven para la difusión del malware 2.0
y todo tipo de actividades ilegales. Siempre se les ha acusado de ser
excesivamente "tolerantes" con estas prácticas. ICANN en un movimiento
sin precedentes (que ha sido muy aplaudido), ha anunciado en un
comunicado público que debido a la eterna sospecha sobre Estdomains
(ellos siempre han negado que toleren el abuso de sus dominios), les
retira la licencia. Aunque Estdomains ha presentado alegaciones (en
estonio) y el proceso está temporalmente parado en espera de que ICANN
las estudie. El dueño de Esdomains ha estado en prisiónanteriormente por
fraudes con tarjetas de crédito.

De golpe, si Estdomains es verdaderamente cómplice de las mafias
informáticas, estas se quedan sin un socio que les proporcione una parte
de la infraestructura necesaria para alojar sus componentes de troyanos.
Relacionando esta última campaña de phishing que pretende conseguir
dominios y la suspensión de la licencia de Estdomains, se pueden
plantear dudas: ¿Está la nueva campaña de phishing relacionada con esa
pérdida repentina de su aliado, de los dominios alojados en Estdomains?
¿Es posible que necesiten nuevos dominios (conseguidos de cualquier
forma) para tener una buena infraestructura en la que seguir operando?
No podemos saberlo con certeza.

Lo más probable es que los atacantes se "muden" en breve a cualquier
otro registrante (probablemente también ruso) que haga la vista gorda
ante sus actividades, y sigan esparciendo malware en la Red.

A ICANN además, le queda el problema de recolocar todos esos dominios de
Estdomains que siendo legítimos, ahora tienen que cambiar de
registrante.

Más información:

ICANN
http://www.icann.org/correspondence/burnette-to-tsastsin-28oct08-en.pdf

Fuente: HispasecEl deseo puede ser dominio.

yo he recibido unos cuantos de "enom" y "netsol" tambien ...

Si yo tambien he recibido de Netsol ... se ve que enfocaron sus actividades hacia este nicho .. Saludos de elnono - El cambio es la única constante en la vida -

me tocan los premiums Domains-for-sale: PrivateEuro.com PagoAbierto.com TierraRaras.com AISmallBusiness.com TarjetaEuro.com