Blog da Kaspersky

Novos gTLDs, velhos ataques

Publicado: 
Mon, 07/14/2014
ShareThis

Cibercriminosos pelo mundo já apontam suas armas de ataque para os novos gTLDs (generic Top Level domain), os dominios genéricos de nome, aprovados recentemente pela ICANN, o órgão que governa os dominios de internet. Esses novos dominios já estão disponíveis através das empresas de registro de dominios, disponíveis para as empresas ou pessoas que querem registrar novos sites. Recentemente encontramos diversas atividades maliciosas, que incluem malware e páginas de phishing nos seguintes dominios: .club, .berlin, .blue, .computer, .camera, .futbol, .link, .pink, .report, .travel, .vacations e .xyz.

Os novos dominios foram aprovados recentemente pela ICANN e as empresas já disponibilizam o registro para aqueles que querem fugir de sites .com ou .org e querem mais possibilidades de nomes. Devemos estar preparados para encontrar sites do tipo “tudo.bom”, “sem.gripe”, “minha.webcam”, ou até mesmo “meu.email”. No Brasil diversas empresas como Globo, Natura, Bradesco e Vivo também registraram seus dominios.

De acordo com o nTLDStats.com já foram registrados mais de 1,4 milhão de novos dominios nesses novos TLDs:

Há mais de 322 novos Top Level Domains vendidos pelo ICANN. Entre os mais populares em número de domínios registrados está .xyz (iniciado em Fevereiro), .berlin e .club (ambos iniciados em Janeiro):


Os phishers brasileiros estão particularmente interessados nesses novos dominios e já iniciaram seus ataques, registrando diversos deles, usando nomes de marcas conhecidas, como Bancos, lojas on-line e empresas de cartão de crédito. Por exemplo:

cielo-seucartaobateumbolao.xyz
megasaldao-americanas.xyz
lojadoricardoeletro.xyz
hsbc.club
santander.club
bradesco.club
ricardoeletro.club
ricardoeletro.computer
ricardoeletro.camera

Esses dominios foram registrados com o intuit claro de serem usados em ataques de phishing, portanto não é surpresa saber que os dados encontrados no “whois” são completamente falsos:

Os brasileiros não são os únicos interessados; já encontramos sites fraudulentos em inglês, vendendo supostas moedas do jogo FIFA’14 hospedado num dominio .club:


Outros phishers continuam suas campanhas usando dominios mais antigos, como o .travel (criado em 2005). Abaixo você pode ver a página de phishing de um banco brasileiro:


Mas também há malware. Sabemos que os cibercriminosos por trás do exploit kit “Nuclear” estão hospedando seus kits de ataque e páginas comprometidas nos dominios .blue, .pink, .futbol, e .report.

Se você é um usuário de redes sociais e recebe emails constantemente, fique atento, esses links mesmo sendo diferentes podem ser maliciosos como qualquer outro link. Se você tem uma empresa é uma boa idéia monitorar os novos dominios registrados nos gTLDs para certificar-se de que a marca da sua empresa não é usada nesses ataques.

Os usuários do Kaspersky antivirus estão protegidos contra esses ataques.

Rocket Fuel