Un fallo permitía registrar dominios de phishing con caracteres Unicode

phishing web site

Hace algunos días los investigadores de Soluble dieron a conocer su nuevo descubrimiento de una nueva forma de registrar dominios con homoglifos que se parecen a otros dominios, pero en realidad difieren debido a la presencia de caracteres con un significado diferente.

Dichos dominios internacionalizados (IDN) pueden a primera vista no diferir de los dominios de compañías y servicios conocidos, lo que le permite usarlos para suplantación de identidad, incluida la recepción de los certificados TLS correctos para ellos.

El registro exitoso de estos dominios se parece a los dominios correctos y bien conocidos, y son utilizados para realizar ataques de ingeniería social a las organizaciones.

Matt Hamilton, un investigador de Soluble, identificó que es posible registrar varios dominios genéricos de nivel superior (gTLD) utilizando el carácter de extensión de Unicode Latin IPA (como ɑ y ɩ), y también pudo registrar los siguientes dominios.

La sustitución clásica a través de un dominio IDN aparentemente similar se ha bloqueado durante mucho tiempo en los navegadores y registradores, debido a la prohibición de mezclar caracteres de diferentes alfabetos. Por ejemplo, el dominio falso apple.com («xn--pple-43d.com») no se puede crear reemplazando el latín «a» (U + 0061) con el cirílico «a» (U + 0430), ya que mezcla el dominio de las letras de diferentes alfabetos no está permitido.

En 2017, se descubrió una forma de eludir dicha protección mediante el uso de solo caracteres unicode en el dominio, sin usar el alfabeto latino (por ejemplo, usando caracteres del lenguaje con caracteres similares al latín).

Ahora se ha encontrado otro método de elusión de la protección, basado en el hecho de que los registradores bloquean la mezcla de latín y Unicode, pero si los caracteres Unicode especificados en el dominio pertenecen a un grupo de caracteres latinos, dicha mezcla está permitida, ya que los caracteres pertenecen al mismo alfabeto.

El problema es que la extensión Unicode Latin IPA contiene homoglifos similares en ortografía a otros caracteres latinos: el símbolo «ɑ» se asemeja a «a», «ɡ» -» g», «ɩ» – «l».

La posibilidad de registrar dominios en los que el latín se mezcla con los caracteres Unicode indicados se identificó con el registrador Verisign (no se verificaron otros registradores), y se crearon subdominios en los servicios Amazon, Google, Wasabi y DigitalOcean.

Aun que la investigación solo se realizó en gTLD administrados por Verisign el problema no fue tomado muy encuenta por los gigantes de la red y a pesar de las notificaciones enviadas, tres meses después, en el último momento, se solucionó solo en Amazon y Verisign ya que solo ellos en particular tomaron el problema muy en serio.

Hamilton mantuvo su informe de manera privada hasta que Verisign, la compañía que administra los registros de dominio para extensiones de dominio de nivel superior (gTLD) prominentes como .com y .net, solucionó el problema.

Los investigadores también lanzaron un servicio en línea para verificar sus dominios en busca de posibles alternativas con homoglifos, incluida la verificación de dominios ya registrados y certificados TLS con nombres similares.

En cuanto a los certificados HTTPS, a través de los registros de Transparencia de certificados, se verificaron 300 dominios con homoglifos, de los cuales 15 se registraron en la generación de certificados.

Los navegadores reales de Chrome y Firefox muestran dominios similares en la barra de direcciones en la notación con el prefijo «xn--«, sin embargo, los dominios se ven sin conversión en los enlaces, que pueden usarse para insertar recursos maliciosos o enlaces en páginas, con el pretexto de descargarlos de sitios legítimos.

Por ejemplo, en uno de los dominios identificados con homoglifos, se registró la propagación de una versión maliciosa de la biblioteca jQuery.

Durante el experimento, los investigadores gastaron $ 400 y registraron los siguientes dominios con Verisign:

  • amɑzon.com
  • chɑse.com
  • sɑlesforce.com
  • ɡmɑil.com
  • ɑppɩe.com
  • ebɑy.com
  • ɡstatic.com
  • steɑmpowered.com
  • theɡuardian.com
  • theverɡe.com
  • washinɡtonpost.com
  • pɑypɑɩ.com
  • wɑlmɑrt.com
  • wɑsɑbisys.com
  • yɑhoo.com
  • cɩoudfɩare.com
  • deɩɩ.com
  • gmɑiɩ.com
  • gooɡleapis.com
  • huffinɡtonpost.com
  • instaɡram.com
  • microsoftonɩine.com
  • ɑmɑzonɑws.com
  • ɑndroid.com
  • netfɩix.com
  • nvidiɑ.com
  • ɡoogɩe.com

Si quieres conocer más detalles al respecto sobre este descubrimiento, puedes consultar el siguiente enlace.


Sé el primero en comentar

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.