Feeds:
Posts
Comments

Posts Tagged ‘fast-flux’

Qualche giorno fa, CNNIC (ovvero il registro che regola e gestisce il ccTLD .CN) ha deciso, apparentemente, che la quantità di rumenta presente nel proprio TLD era decisamente divenuta eccessiva, e ha deciso di porre rimedio.

Il modus è abbastanza banale: inizierà a richiedere che ogni registrazione di dominio sia accompagnata da “pezze” cartacee, che attestino l’identità di chi sta registrando il dominio, in assenza delle quali il dominio verrà cessato.

Che sul medio termine ciò si dimostri un valido deterrente è ancora tutto da dimostrare: la data-limite per poter produrre la documentazione cartacea è infatti 5 giorni dopo la data di registrazione, e per gran parte degli schemi di abuso più aggressivi che si basano sull’utilizzo massiccio di domini usa-e-getta (come fast-flux) 5 giorni sono abbondantemente sufficienti.

Nel breve termine, tuttavia, è in corso una fuga di massa da parte dei soliti ignoti, in direzione di altre risorse.

In particolare, molto sembra spostarsi in direzione di LiveJournal e il già abbondantemente abusato spaces.live.com di Microsoft.

Quest’ultimo sta infatti vedendo un incremento notevole dei domini di terzo livello utilizzati per ospitare spam, pur partendo da una base di abusi di tutto rispetto (i dati relativi alla giornata odierna sono aggiornati al momento in cui scrivo, e la giornata è tutt’altro che finita):

  • 20091214:    2129
  • 20091215:    2287
  • 20091216:    2837
  • 20091217:    3327
  • 20091218:    3734

Per quanto riguarda LiveJournal, la situazione è migliore nei numeri ma assai peggiore nel trend:

  • 20091214:    94
  • 20091215:    98
  • 20091216:    98
  • 20091217:    452
  • 20091218:    733

Quel che, personalmente, più mi infastidisce è il fatto che da parte di Microsoft sarebbe uno sforzo probabilmente risibile -rispetto alle attività che giornalmente svolgono- porre in atto meccanismi che siano in grado di contrastare questo stato di cose già all’atto della creazione degli account abusati.

Apparentemente, tuttavia, non vi è alcun interesse a farlo, considerando che oramai l’attuale stato di cose procede da oltre 12 mesi.

Parallelamente, noto anche un sostanziale incremento dei domini “leciti” crackati ed usati per appoggiarvi redirect verso siti di spammer.

Incremento, questo, plausibilmente dovuto al “successo” di Zeus, che, al pari dei suoi predecessori, provvede a rubare le credenziali di accesso memorizzate sui PC che infetta, fornendole solertemente alla gang che lo controlla, che poi le utilizzerà per eseguire accessi FTP non autorizzati con cui uploadare i contenuti di suo interesse sui siti delle vittime.

Advertisements

Read Full Post »

Dopo la Cina…

…viene l’Europa.

In termini di spam, intendo.

In questo momento, infatti, il TLD che più promette di andare ad intaccare la quantità di abusi di cui è protagonista il ccTLD .cn è il .eu.

Una escalation di phishing su reti fast-flux, con target Facebook…

 

Read Full Post »

A pesca

A pesca

Alcune settimane fa parecchi appartenenti alla “comunità antispam” hanno avuto modo di gioire a seguito della chiusura totale dei peering che fornivano connettività ad Atrivo/Intercage, base di svariate delle attività criminali più pervasive in rete, secondo la tracciatura di tali attività effettuata da Spamhaus.

A breve distanza da questo evento avviene, da parte di ICANN, la terminazione del ruolo di registrar per Estdomains. Estdomains è (o, oramai, è stato, si spera) registrar legato a filo doppio con Atrivo/Intercage e con le attività criminali che sulla rete di Atrivo avevano base, e riguardanti frodi, phishing, riciclaggio di denaro, distribuzione di malware ecc.

Apparentemente la sparizione di un registrar connivente ha aperto un buco nella rapida disponibilità di risorse dei criminali della rete: niente nuovi domini significa maggiore difficoltà di proseguire nella conduzione di strutture fast-flux. Cosicchè assistiamo, in queste ore, a due fenomeni correlati a ciò: da un lato, lo spostamento di svariate reti fast-flux che usualmente utilizzavano gTLD (registrati, appunto, per tramite di Estdomains) in direzione del ccTLD cinese (notoriamente molto “di manica larga” e quindi facilmente abusabile e abusato); dall’altro, l’inizio di fenomeni di phishing mirati ad appropriarsi delle altrui credenziali di accesso a registrar.

D’altra parte, se non puoi ottenere la registrazione di nuovi domini “con la tua faccia”, non vi è nulla di più immediato di farlo con la faccia di qualcun altro. Soprattutto se di mestiere fai altrettanto con i conti in banca.

Per ora, gli avvistamenti più masicci riguardano phishing in direzione di account Enom

http://www.enom.com.sys52.net
http://www.enom.com.sys82.net
http://www.enom.com.com94.net
http://www.enom.com.sys52.net
http://www.enom.com.com72.biz

…ma già qualche avvistamento si è avuto anche per altri registrar:

http://www.networksolutions.com.com21.asia

Quindi una nota ai naviganti: oltre alle false-mail dalla vostra banca, badate bene anche alle false mail dal vostro registrar…

Read Full Post »

%d bloggers like this: