Infoblox alerta de la proliferación de sitios fraudulentos vinculados a la crisis de Ucrania

1. Resumen Ejecutivo  

Desde la invasión rusa a Ucrania el 24 de febrero, Infoblox Threat Intelligence Group ha observado un marcado aumento en la cantidad de nuevos nombres de dominio relacionados con Ucrania en nuestros DNS resolvers recurrentes. Gran parte de esta actividad es parte de una respuesta global a la crisis humanitaria que está ocurriendo en Europa del Este, y parte de esta actividad consiste en nuevos esfuerzos liderados por grupos previamente descoordinados. Sin embargo, los ciberdelincuentes también aprovecharon la oportunidad y crearon muchos sitios para suplantar o imitar esfuerzos de soporte genuinos. Distinguir entre estos dos escenarios puede ser difícil incluso para las personas más cautelosas.  

2. Análisis  

El análisis del tráfico de DNS a través de nuestros resolvers recurrentes desde el 24 de febrero ha mostrado un aumento espectacular en los dominios relacionados con Ucrania: del 24 al 28 de febrero, se vieron por primera vez más del doble de dominios que en la semana anterior a la ofensiva rusa.  

En respuesta, Infoblox ha desarrollado múltiples análisis y está evaluando activamente el nivel de amenaza de los dominios recién observados. Hemos encontrado indicadores relacionados con actividades que van desde campañas de malware hasta personas que realizan nuevos esfuerzos para coordinar la entrega de suministros médicos a Ucrania. Entre las amenazas más frecuentes en este entorno se encuentran las estafas para recolectar criptomonedas.  

Uno de los desarrollos que dificulta el análisis es que muchos esfuerzos, tanto legítimos como fraudulentos, se están estableciendo como Organizaciones Anónimas Descentralizadas (DAO). Una DAO típica se centra en un tema específico, como la guerra en Ucrania, y es una organización propiedad de sus miembros sin un liderazgo central. Estas organizaciones se basan en registros y reglas de transacciones financieras establecidas en una cadena de bloques. De hecho, el 26 de febrero, una cuenta de Twitter1 identificable con el gobierno ucraniano solicitó donaciones en criptomonedas, lo que podría haber contribuido a la oleada de sitios emergentes que ofrecen donaciones mediante moneda virtual.  

En las horas posteriores a que las tropas rusas cruzaran la frontera con Ucrania, se establecieron varios DAO legítimos para protestar por las acciones de Rusia y crear apoyo financiero para Ucrania. Quizás el más notable de estos es el DAO de Ucrania, alojado en ukrainedao[.]love y establecido por la fundadora de Pussy Riot, Nadya Tolokonnikova, y otros activistas. Debido al nuevo registro y uso de criptomonedas de este DAO, muchos proveedores de seguridad han concluido falsamente que su dominio de alojamiento es malicioso.  

El sitio web de Ucrania DAO ofrece dos métodos para donar a la causa:  

 (1) las personas pueden donar criptomonedas directamente a la billetera Ethereum ukrainedao[.]eth, y (2) las personas con una billetera en cadena pueden donar y recibir una ficha de “amor” que no tiene valor monetario pero sí tiene impacto social. Aunque está alojado en un dominio recién registrado y utiliza criptomonedas, los fundadores reclaman públicamente la DAO de Ucrania y la reconocen en cuentas de Twitter verificadas. Hemos llegado a la conclusión de que este dominio no aloja malware ni contenido fraudulento.  

Por el contrario, una serie de otras DAO son más sospechosas y carecen de vínculos creíbles con personalidades establecidas en la región. Como el dominio saveukraine[.]xyz. A primera vista, el contenido es similar al de Ucrania DAO; sin embargo, según varios factores, evaluamos que este sitio web es una estafa de criptomonedas:  

• La dirección de Ethereum anunciada no tiene transacciones.  

• No hay ningún reclamo validado públicamente de este sitio.  

• Investigadores establecidos de ESET concluyeron que el sitio web es fraudulento.  

• Los propietarios del sitio están creando transacciones de terceros a otro dominio recientemente registrado, unchain[.]fund, por el cual reciben tarifas.  

Comparar la DAO de Ucrania con saveukraine[.]xyz demuestra lo difícil que puede ser para el consumidor promedio distinguir entre una actividad válida y una actividad nefasta. Además de recibir dinero de forma falsa, los ciberdelincuentes pueden usar esta interacción para robar información personal y tarjetas de crédito y distribuir malware.  

Los investigadores de Infoblox han analizado manualmente docenas de dominios recientemente observados relacionados con Ucrania. A medida que proporcionamos el contenido a los firewalls de DNS que utilizan nuestros clientes, queremos asegurarnos de que los protegemos de actores maliciosos y no interferimos con los esfuerzos de ayuda genuinos únicamente en función de la antigüedad de un dominio o la apariencia de un sitio web.  

Además de los sitios web de donaciones como los que describimos anteriormente, la invasión ha inspirado esfuerzos de base para reunir apoyo, protestar contra la invasión y brindar ayuda al pueblo de Ucrania. Se han creado nuevos sitios web para recopilar medicamentos y suministros, organizar voluntarios para las milicias y difundir información sobre las protestas locales. Algunos de estos sitios web incorporan hojas de cálculo o enlaces a Formularios de Google, que a menudo se asocian con comportamientos maliciosos.  

3. Prevención y mitigación  

Las personas y organizaciones que deseen apoyar causas humanitarias en Ucrania o ser parte de los esfuerzos locales para poner fin a la guerra deben tener mucho cuidado al interactuar con sitios web relacionados con dichos esfuerzos. Recomendamos que todos lo piensen dos veces antes de hacer clic en los enlaces a los sitios y verifiquen la legitimidad de estas organizaciones. Algunos de estos sitios podrían servir como frentes fraudulentos para operaciones de inteligencia u operaciones de delitos cibernéticos, lo que representa un riesgo potencial de spyware para los dispositivos finales y la recopilación de información de identificación personal (PII). Antes de proporcionar información personal o financiera a este tipo de sitios web, verifique con una fuente establecida que identifique a la organización y su dominio de alojamiento.  

4. Indicadores  

Infoblox proporcionará indicadores relacionados con la guerra en Ucrania en una  lista  que también incluye una breve nota sobre cada indicador. Hemos descubierto estos indicadores en una o más de nuestras fuentes de datos patentadas y la lista no pretende ser exhaustiva en el sentido de incorporar indicadores de otras fuentes públicas. Nuestros indicadores se desglosan en aquellos que son maliciosos y aquellos que hemos validado para que no contengan malware o contenido fraudulento en el momento de la evaluación.  

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s