Um bug permitido para registrar domínios de phishing com caracteres Unicode

Darkcrizt

Minutos 4

site de phishing

Alguns dias atrás, o Pesquisadores da Soluble divulgaram sua nova descoberta de uma nova maneira de registrar domínios com homóglifos que se parecem com outros domínios, mas na verdade diferem devido à presença de personagens com um significado diferente.

Esses domínios internacionalizados (IDN) pode à primeira vista não ser diferente de domínios de empresa e serviço conhecidos, permitindo que você os use para falsificação, incluindo o recebimento dos certificados TLS corretos para eles.

O registro bem-sucedido desses domínios parece ser os domínios corretos e bem conhecidos, e são usados ​​para realizar ataques de engenharia social às organizações.

Matt Hamilton, pesquisador da Soluble, identificou que é possível registrar vários domínios nível superior genérico (gTLD) usando o caractere de extensão Unicode Latin IPA (como ɑ e ɩ) e também foi capaz de registrar os seguintes domínios.

A substituição clássica por um domínio IDN aparentemente semelhante há muito foi bloqueada em navegadores e registradores, devido à proibição de misturar caracteres de alfabetos diferentes. Por exemplo, o domínio falso apple.com ("xn--pple-43d.com") não pode ser criado substituindo o latino "a" (U + 0061) pelo cirílico "a" (U + 0430), uma vez que Não é permitido misturar o domínio de letras de alfabetos diferentes.

Em 2017, uma forma de contornar tal proteção foi descoberta usando apenas caracteres Unicode no domínio, sem usar o alfabeto latino (por exemplo, usando caracteres de idioma com caracteres semelhantes ao latim).

Agora outro método de contornar a proteção foi encontrado, com base no fato de que os registradores bloqueiam o mistura de latim e Unicode, mas se os caracteres Unicode especificados no domínio pertencem a um grupo de caracteres latinos, tal mistura é permitida, visto que os caracteres pertencem ao mesmo alfabeto.

O problema é que a extensão Unicode Latin IPA contém homóglifos semelhantes na grafia a outros caracteres latinos: o símbolo "ɑ" é semelhante a "a", "ɡ" - "g", "ɩ" - "l".

A capacidade de registrar domínios onde o latim é misturado com os caracteres Unicode indicados foi identificada com o registrador da Verisign (nenhum outro registrador foi verificado), e subdomínios foram criados nos serviços Amazon, Google, Wasabi e DigitalOcean.

Embora a investigação tenha sido conduzida apenas em gTLDs gerenciados pela Verisign, o problema não foi levado em consideração pelos gigantes da rede e apesar das notificações enviadas, três meses depois, no último minuto, foi corrigido apenas na Amazon e na Verisign, pois somente elas em particular levaram o problema muito a sério.

Hamilton manteve seu relatório privado até que a Verisign, a empresa que gerencia os registros de domínio para extensões de domínio de primeiro nível (gTLDs) como .com e .net, corrigiu o problema.

Os pesquisadores também lançaram um serviço online para verificar seus domínios. procurando possíveis alternativas com homóglifos, incluindo verificação de domínios já registrados e certificados TLS com nomes semelhantes.

Em relação aos certificados HTTPS, 300 domínios com homoglifos foram verificados por meio dos registros de Transparência de Certificados, dos quais 15 foram registrados na geração dos certificados.

Os navegadores reais Chrome e Firefox mostram domínios semelhantes na barra de endereço na notação com o prefixo "xn--", porém os domínios são vistos sem conversão nos links, que podem ser usados ​​para inserir recursos maliciosos ou links em páginas, sob o pretexto de baixá-los de sites legítimos.

Por exemplo, em um dos domínios identificados com homoglifos, a propagação de uma versão maliciosa da biblioteca jQuery foi registrada.

Durante o experimento, pesquisadores gastaram $ 400 e registraram os seguintes domínios com a Verisign:

  • amɑzon.com
  • chɑse.com
  • sɑlesforce. com
  • ɡmɑil. com
  • ɑppɩe.com
  • ebɑy.com
  • ɡstatic.com
  • steɑmpowered.com
  • theɡguardian. com
  • theverɡe.com
  • washɡtonpost.com
  • pɑypɑɩ.com
  • wɑlmɑrt.com
  • wɑsɑbisys. com
  • yɑhoo.com
  • cɩoudfɩare.com
  • deɩɩ. com
  • gmɑiɩ.com
  • www.gooɡleapis.com
  • huffinɡtonpost.com
  • instaram. com
  • microsoftonɩine.com
  • ɑmɑzonɑws.com
  • ɑdroid.com
  • netfɩix.com
  • nvidiɑ.com
  • ɡoogɩe.com

Si você quer saber mais detalhes sobre isso sobre esta descoberta, você pode consultar o seguinte link.


Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.