Un dominio parked ha una probabilità otto volte maggiore di cambiare categoria in una delle categorie pericolose

domain parking

Unit 42, il threat intelligent team di Palo Alto Networks, ha realizzato una nuova ricerca sull’abuso di parked domain o domain parking negli attacchi cyber.

I servizi di domain parking sono una soluzione semplice per i proprietari di domini per monetizzare il traffico dei loro siti attraverso pubblicità di terze parti. Si tratta di un servizio innocuo a prima vista, ma questo tipo di domini può rappresentare una minaccia significativa, perché può reindirizzare i visitatori verso pagine pericolose o indesiderate o diventare completamente dannosi in qualsiasi momento.

Da oltre nove anni rileviamo le attività di domain parking. Da marzo a settembre 2020, abbiamo identificato 5 milioni di nuovi domini e nello stesso arco di tempo, abbiamo osservato che 6 milioni di domini parked sono passati ad altre categorie: l’1,0% è passato a categorie pericolose (come il phishing o malware), il 2,6% è passato a categorie non sicure per il lavoro (come il gioco d’azzardo) e il 30,6% è passato a categorie sospette (come dubbie o ad alto rischio). Rispetto a un dominio benigno (come informazioni su computer e Internet o acquisti), un dominio parked ha una probabilità otto volte maggiore di cambiare categoria in una delle categorie pericolose di cui sopra.

Qui di seguito alcuni dei risultati della ricerca:

  • Monitoraggio dell’attività web degli utenti: Palo Alto Networks ha osservato gli attaccanti che hanno abusato del dominio peoplesvote[.]uk in relazione alle elezioni presidenziali in corso negli Stati Uniti. Gli utenti vengono reindirizzati a un sito web di sondaggi che chiede informazioni sulle preferenze di voto degli utenti di Joe Biden o Donald Trump. Un kit exploit rileva le battiture del browser in modo silenzioso per tracciare l’attività web degli utenti. Da notare che queste pagine sono ancora attive.
  • Diffusione di Emotet tramite e-mail di phishing: Palo Alto Networks ha osservato il ciclo di vita pericoloso del dominio valleymedicalandsurgicalclinic[.]com – non più attivo – nell’ambito di una campagna globale di Emotet, durante la quale, sono stati osservati attacchi contro organizzazioni in vari settori (ad esempio, istruzione, governo, energia, produzione, costruzione, telecomunicazioni) in tutto il mondo, compresi Stati Uniti, Regno Unito, Francia, Giappone, Corea e Italia. L’attacco contro le organizzazioni francesi ha sfruttato anche la pandemia globale: ha utilizzato Covid19 come oggetto dell’e-mail di phishing. Nessuno di questi attacchi ha avuto successo.
  • Abuso del programma di affiliazione di McAfee: Palo Alto Networks ha osservato un dominio, xifinity[.]com, che reindirizza gli utenti verso una landing page abusiva, antivirus-protection[.]com-123[.]xyz. Entrambi i domini sono attualmente attivi. La landing page cerca di ingannare gli utenti facendogli credere che il loro dispositivo sia infetto e che l’abbonamento a McAfee sia scaduto. Cliccando sul pulsante “Procedi” gli utenti saranno reindirizzati a una pagina di download legittima di McAfee che offre un abbonamento antivirus. Palo Alto Networks ritiene che i cyber criminali stiano abusando del programma di affiliazione di McAfee per impossessarsi dei guadagni pubblicitari.

La migliore pratica di sicurezza per le aziende è di tenere traccia di questi dominii, mentre gli utenti dovrebbero assicurarsi di digitare i nomi di dominio correttamente e verificare che i loro proprietari siano affidabili prima di accedervi.