Un análisis en profundidad de la campaña de phishing en hostelería muestra amenazas globales
Comentario editorial y adicional de Tricia Howard
Resumen ejecutivo
Los investigadores de Akamai han seguido examinando una sofisticada campaña de phishing activa dirigida a sitios de hostelería y a sus clientes.
La campaña constituye una amenaza global, con una cantidad considerable de tráfico de DNS detectada en Suiza, Hong Kong y Canadá. También hemos observado numerosas consultas en Italia, Argentina y Singapur.
Aunque inicialmente se pensaba que la campaña solo ha estado activa desde septiembre de 2023, el registro de dominios muestra que se han registrado y consultado nombres de dominio desde junio de 2023.
Introducción
A pesar de años de concienciación y análisis, el phishing sigue siendo la principal ciberamenaza tanto para las organizaciones como para los particulares. Su complejidad en constante evolución y objetivo centrado, que podrían definir estas campañas, son asombrosos. Nosotros mismos hemos observado estas características en la infraestructura detrás de una estafa de regalos navideños, las estafas con criptomonedas de regaloy una campaña específica para hostelería que se detectó en septiembre de 2023.
Después de nuestro análisis inicial del segundo nivel de esa campaña de hostelería, quedó claro que debíamos profundizar más.
Nuestra visión única del panorama online
Akamai observa el tráfico de consultas de DNS en un gran número de países de todo el mundo. Muchos de nuestros clientes que implementan los agentes de resolución de DNS de Akamai deciden compartir los registros anónimos con nosotros, los cuales podemos utilizar para realizar investigaciones y análisis de amenazas, y tomar medidas para proteger a los usuarios finales. Esta visión única del panorama online nos ofrece una base para comprender mejor esta campaña de phishing.
En esta entrada de blog, profundizaremos en este tema y examinaremos las consultas DNS, el tráfico y los nombres de dominio completos (FQDN) asociados a los indicadores de riesgo (IoC) que se han descubierto como parte de la campaña.
Clústeres de nombres de dominio
Un análisis más profundo de los datos comienza con nuestra sólida tabla interna de estadísticas de FQDN, que enumera todos los FQDN observados en el tráfico de DNS por nuestro equipo. Esta tabla proporciona un mayor contexto de los FQDN, así como información de marca de tiempo y metadatos adicionales. Todo ello permite un análisis más profundo y preciso cuando estudiamos en detalle algo específico, como hicimos en esta campaña.
Búsqueda de patrones
Comenzamos nuestro análisis con la primera IP detectada por nuestros investigadores de amenazas: 91.215.40[.]30. Podemos ver que esta pertenece al ASN AS57724, que parece ser de origen ruso.
Puesto que sabemos que la campaña ha estado activa desde al menos principios de septiembre de 2023, primero filtramos esta tabla por los FQDN que se han resuelto en 91.215.40[.]30 en los últimos meses (Tabla 1).
FQDN |
Clúster |
|---|---|
service10.wakkofkznmartyxa3244[.]site |
wakk |
booking.reservation-accept[.]info |
dashed |
booking.com-id2834440[.]info |
.com-id |
service10.wakkofkznmartyxa3244[.]site |
wakk |
booking.id17825117[.]date |
.id |
www.yandex.sberbank.com-id409712[.]com |
.com-id |
booking.id301628951[.]date |
.id |
booking.acquire-transaction[.]cloud |
dashed |
booking.com.id60157261[.]date |
.com.id |
static.wakkofkznmartyxa3244[.]site |
wakk |
booking.com-id2435142[.]info |
.com-id |
service10.wakkofkznmartyxa3244[.]site |
wakk |
booking.check-request[.]info |
dashed |
service10.wakkofkznmartyxa3244[.]site |
wakk |
pay.avito.avito.avito.com-id20341[.]info |
.com-id |
Tabla 1: Ejemplo de FQDN que se han resuelto en 91.215.40[.]30
Aunque algunos de estos FQDN siguen las técnicas de combosquatting más típicas, como añadir la palabra clave "reservation", otros son un sinsentido para el ser humano, como "wakkofkznmartyxa3244".
Como puede ver en la Tabla 1, hay algunos patrones visuales bastante claros en los FQDN. Ahora podemos agrupar los FQDN en clústeres según la técnica del combosquatting o, en el caso de los ininteligibles, según una muestra del texto del FQDN. Logramos identificar cinco clústeres: wakk, dashed, .id, .com-id y .com.id.
Uso de los patrones
Una vez identificados esos clústeres, diseñamos patrones de regex para analizarlos más a fondo. Esto nos permitió filtrar nuestros datos y generar estadísticas agregadas para cada uno de los clústeres. También unimos los datos WHOIS para los dominios dentro de los clústeres (Tabla 2).
Clúster. |
Tamaño del clúster. |
Popularidad |
Primer registro |
Primera detección |
Última detección |
Subdominio de ejemplo |
Dominio de ejemplo |
|---|---|---|---|---|---|---|---|
wakk |
1 |
10x |
14/06/2023 |
15/06/2023 |
sigue activo |
service10. |
wakkofkznmartyxa3244[.]site |
dashed |
Más de 10 |
1 vez |
16/07/2023 |
18/07/2023 |
03/09/2023 |
booking. |
reservation-accept[.]info |
.id |
Más de 10 |
1 vez |
17/08/2023 |
18/08/2023 |
sigue activo |
booking. |
id11853502[.]date |
.com-id |
Más de 10 |
1 vez |
06/09/2023 |
07/09/2023 |
sigue activo |
avito.sber. |
com-id02349[.]info |
.com.id |
Más de 10 |
1 vez |
06/09/2023 |
08/09/2023 |
sigue activo |
booking.com. |
id60157261[.]date |
Tabla 2: Estadísticas agregadas para clústeres de FQDN
Para comprender la Tabla 2, debemos definir cada columna.
Tamaño del clúster: número de nombres de dominio que vemos dentro de cada clúster; cada clúster (excepto el clúster ‘wakk’) contiene docenas de nombres de dominio diferentes que parecen similares y siguen el mismo patrón
Popularidad: recuento de consultas relativo recibido por cada uno de estos clústeres
Primer registro: fecha de registro más antigua de todos los dominios del clúster según los datos WHOIS
Primera detección: fecha en la que observamos la primera consulta DNS a cualquiera de los dominios del clúster según nuestros registros de consultas DNS internos. Nos dimos cuenta de que cada uno de los dominios aparecía en nuestro radar solo 1 o 2 días después de que se registrara por primera vez
Última detección: fecha en la que vimos aparecer el clúster por última vez en el tráfico de DNS
Subdominio de ejemplo: ejemplo de un subdominio del clúster que recibió las consultas
Dominio de ejemplo: nombre de dominio aleatorio único desde el clúster
Conclusiones de los datos analizados
Cada uno de los dominios aparecía en nuestro radar solo 1 o 2 días después de que se registrara por primera vez El primero que observamos fue el clúster ‘wakk’, que se registró en junio de 2023.
El dominio ‘wakk’ está experimentando el mayor número de consultas DNS con diferencia (aproximadamente, 2,5 veces más consultas DNS que los otros cuatro clústeres combinados). Este contraste puede indicar que se está utilizando para el redireccionamiento o como un concentrador de algún tipo.
Teniendo en cuenta que esta campaña tiene varias capas objetivo (la primera es el hotel, la segunda son los huéspedes de dicho hotel), es preocupante ver que los cuatro clústeres restantes siguen activos en la fecha de publicación de esta entrada de blog, exceptuando el clúster ‘dashed’. Este clúster en concreto tenía las fechas de registro más antiguas, pero dejamos de observar consultas a este clúster el 3 de septiembre de 2023.
Eliminación gradual del clúster que genera más riesgo
A partir de estos datos, deducimos que originalmente se estaba utilizando el clúster ‘dashed’, pero luego el atacante decidió eliminar gradualmente ese clúster y continuar con los tres clústeres restantes. El hecho de que el tráfico hacia el clúster ‘dashed’ se parara el 3 de septiembre y que los primeros nombres de dominio en los clústeres .com-id y .com.id se registraran el 6 de septiembre hace más creíble esta idea. El clúster ‘dashed’ también tenía la conformación más "tradicional" de dominio de estafa, lo que podría haber incrementado el riesgo de detección por parte de los investigadores de amenazas u otros.
Mientras el clúster está inactivo, las consultas siguen llegando a través de los clústeres .id, .com-id y .com.id.
El clúster ‘dashed’ utiliza actualmente dos o tres palabras del siguiente diccionario conectadas mediante un guión, y utiliza los archivos dominios de nivel superior (TLD) .com, .date, .info, .cloud y .site:
acceptacquire
approve
booking
check
confirm
confirmation
guest
process
request
reserve
reservation
safe
secure
transaction
Los otros tres clústeres apenas se pueden capturar con los siguientes patrones de regex aplicados a los FQDN, aunque es probable que desee filtrar más los resultados por un rango de direcciones IP.
- clúster .id
.*\.id\d{4,9}\.(com|top|date|email|info|site|cloud)$ clúster .com-id
.*\.com-id\d{4,9}\.(com|top|date|email|info|site|cloud)$- clúster .com.id
.*\.com\.id\d{4,9}\.(com|top|date|email|info|site|cloud)$
Expansión a otras direcciones IP
En el análisis anterior se han abordado específicamente los FQDN que se resolvían en 91.215.40[.]30. Sin embargo, es posible (si no probable) que haya más direcciones IP que formen parte de esta campaña. Con los patrones de regex que diseñamos para capturar los diferentes clústeres, consultamos la tabla de estadísticas de FQDN sin procesar para averiguar si hay otras IP implicadas.
Encontramos clústeres idénticos que se resolvían en 91.215.40[.]22, que forma parte del mismo ASN que 91.215.40[.]30. Este es el análisis que motivó que esta dirección IP formara parte de la lista de los IoC de nuestra publicación original.
Una amenaza global
Desde una perspectiva regional, podemos ver que la mayoría del tráfico de DNS procede de Suiza, Hong Kong y Canadá. También observamos muchas consultas en Italia, Argentina y Singapur. La naturaleza global de esta campaña de phishing es otra demostración de la compleja infraestructura que compone estas estafas. Por otro lado, dificulta el seguimiento de esta campaña, ya que no está dirigida a un país o una región específicos.
Aunque hay tráfico de DNS específico desde el punto de vista geográfico, no hemos visto ningún dominio de nivel superior (TLD) con código de país, como .ru. Solo observamos los TLD genéricos, como .com, .top, .date, .email, .info, .site y .cloud.
En el nivel de subdominio, vemos que varios nombres de marca se utilizan de forma inadecuada. A veces, el TLD de la marca es:
El subdominio de primer nivel, como en booking.com.id60157261[.]date
El inicio del nombre de dominio, como en booking.com-id2435142[.]info
No se incluye, como en booking.id17825117[.]date
Podemos resumir estos tres métodos como combinaciones de las técnicas levelsquatting y combosquatting .
Además de booking.com, encontramos una serie de marcas que se suelen ver en Rusia, como avito, sber, sberbank y yandex. Esto es interesante porque el uso de esas marcas rusas comunes solo tendría sentido si la campaña estuviera dirigida a usuarios rusos, a menos que en este caso entre en juego algo de psicología inversa, y ese engaño sea exactamente lo que los atacantes quieren que creamos.
Análisis de WHOIS
Veamos algunos datos WHOIS de los nombres de dominio dentro de los clústeres que encontramos.
Averiguamos que la mayoría de los dominios tienen NameSilo como registrador. El contacto más común que figura en los datos de WHOIS de estos dominios es Privacy Guardian. PrivacyGuardian forma parte de NameSilo. Parece ser que los agentes maliciosos registraron estos nombres de dominio a través de NameSilo y luego utilizaron la función Privacy Guardian para mantener su identidad oculta.
También encontramos nombres de dominio registrados a través de otros registradores. Entre ellos, no es de extrañar que la mayoría de los datos de contacto de WHOIS estén vacíos o incluyan nombres aleatorios.
Además, encontramos varios nombres de dominio dentro de cada clúster que recibieron consultas DNS pero (según los datos de WHOIS) en realidad nunca se registraron. Creemos que el malware que se instala en los dispositivos de los empleados del hotel intenta llegar a direcciones de mando y control y, simultáneamente, llegar a una serie de dominios hasta que se establezca una conexión correcta.
Conclusión
El uso de datos DNS y WHOIS nos ayudó a obtener información de alto nivel sobre una campaña de phishing activa actualmente. La campaña parece tener un alcance global y actualmente involucra cinco clústeres diferentes de nombres de dominio distribuidos en siete TLD. Hemos identificado patrones que se pueden utilizar para capturar estos clústeres. A través de estos patrones, hemos podido confirmar que actualmente hay dos direcciones IP implicadas en esta campaña: 91.215.40[.]30 y 91.215.40[.]22.
Observamos que algunas de las tácticas engañosas de la campaña implican el uso de técnicas de cybersquatting, como levelsquatting y combusquatting. Además, descubrimos que los atacantes pueden estar intentando que parezca que esta campaña solo está dirigida a usuarios rusos mediante el uso de un gran número de marcas rusas.
No se lo pierda
Puede encontrar nuestra investigación de seguridad de última generación en tiempo real si nos sigue en Twitter.
