{"id":1522957,"date":"2025-01-08T21:12:39","date_gmt":"2025-01-08T21:12:39","guid":{"rendered":"https:\/\/teknomers.com\/es\/dominios-descuidados-utilizados-en-malspam-para-evadir-las-protecciones-de-seguridad-spf-y-dmarc\/"},"modified":"2025-01-08T21:12:44","modified_gmt":"2025-01-08T21:12:44","slug":"dominios-descuidados-utilizados-en-malspam-para-evadir-las-protecciones-de-seguridad-spf-y-dmarc","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/dominios-descuidados-utilizados-en-malspam-para-evadir-las-protecciones-de-seguridad-spf-y-dmarc\/","title":{"rendered":"Dominios descuidados utilizados en Malspam para evadir las protecciones de seguridad SPF y DMARC"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/Dominios-descuidados-utilizados-en-Malspam-para-evadir-las-protecciones-de.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Los investigadores de ciberseguridad han descubierto que los malos actores siguen teniendo \u00e9xito al falsificar las direcciones de correo electr\u00f3nico de los remitentes como parte de varias campa\u00f1as de malspam.<\/p>\n<p>Falsificar la direcci\u00f3n del remitente de un correo electr\u00f3nico se considera ampliamente como un intento de hacer que la misiva digital sea m\u00e1s leg\u00edtima y superar los mecanismos de seguridad que, de otro modo, podr\u00edan marcarla como maliciosa.<\/p>\n<p>Si bien existen salvaguardas como el correo identificado con claves de dominio (DKIM), la autenticaci\u00f3n, informes y conformidad de mensajes basados \u200b\u200ben dominio (DMARC) y el marco de pol\u00edticas del remitente (SPF) que pueden usarse para evitar que los spammers falsifiquen dominios conocidos, cada vez es m\u00e1s com\u00fan los llev\u00f3 a aprovechar dominios antiguos y abandonados en sus operaciones.<\/p>\n<p>Al hacerlo, es probable que los mensajes de correo electr\u00f3nico eludan los controles de seguridad que se basan en la antig\u00fcedad del dominio como medio para identificar el spam.<\/p>\n<p>La firma de inteligencia de amenazas DNS, en un nuevo an\u00e1lisis compartido con The Hacker News, descubri\u00f3 que los actores de amenazas, incluidos Muddleing Meerkat y otros, han abusado de algunos de sus propios dominios de nivel superior (TLD) antiguos y en desuso que no se han utilizado para alojar contenido durante casi 20 a\u00f1os.<\/p>\n<p>&#8220;Carecen de la mayor\u00eda de los registros DNS, incluidos los que normalmente se utilizan para comprobar la autenticidad del dominio de un remitente, por ejemplo, los registros del Marco de pol\u00edticas del remitente (SPF)&#8221;, dijo la compa\u00f1\u00eda. &#8220;Los dominios son cortos y est\u00e1n en TLD de gran reputaci\u00f3n&#8221;.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/gartner-endpoint-protection-d-v1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/La-campana-HornsHooves-ofrece-RAT-a-traves-de-correos-electronicos.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Una de esas campa\u00f1as, activa al menos desde diciembre de 2022, implica la distribuci\u00f3n de mensajes de correo electr\u00f3nico con archivos adjuntos que contienen c\u00f3digos QR que conducen a sitios de phishing. Tambi\u00e9n indica a los destinatarios que abran el archivo adjunto y utilicen las aplicaciones Alipay o WeChat en sus tel\u00e9fonos para escanear el c\u00f3digo QR.<\/p>\n<p>Los correos electr\u00f3nicos emplean se\u00f1uelos relacionados con impuestos escritos en mandar\u00edn, al mismo tiempo que bloquean los documentos con c\u00f3digos QR detr\u00e1s de una contrase\u00f1a de cuatro d\u00edgitos incluida en el cuerpo del correo electr\u00f3nico de diferentes maneras. En un caso, el sitio de phishing inst\u00f3 a los usuarios a ingresar sus datos de identificaci\u00f3n y de tarjeta, y luego realizar un pago fraudulento al atacante.<\/p>\n<p>&#8220;Aunque las campa\u00f1as utilizan los dominios descuidados que vemos con Muddleling Meerkat, parecen falsificar en gran medida dominios aleatorios, incluso aquellos que no existen&#8221;, explic\u00f3 Infoblox. &#8220;El actor puede utilizar esta t\u00e9cnica para evitar correos electr\u00f3nicos repetidos del mismo remitente&#8221;.<\/p>\n<p>La compa\u00f1\u00eda dijo que tambi\u00e9n observ\u00f3 campa\u00f1as de phishing que se hacen pasar por marcas populares como Amazon, Mastercard y SMBC para redirigir a las v\u00edctimas a p\u00e1ginas de inicio de sesi\u00f3n falsas utilizando sistemas de distribuci\u00f3n de tr\u00e1fico (TDS) con el objetivo de robar sus credenciales. Algunas de las direcciones de correo electr\u00f3nico que se han identificado por utilizar dominios de remitente falsificados se enumeran a continuaci\u00f3n:<\/p>\n<ul>\n<li>ak@fdd.xpv[.]organizaci\u00f3n<\/li>\n<li>mh@thq.cyxfyxrv[.]com<\/li>\n<li>mfhez@shp.bzmb[.]com<\/li>\n<li>gcini@vjw.mosf[.]com<\/li>\n<li>iipnf@gvy.zxdvrdbtb[.]com<\/li>\n<li>zmrbcj@bce.xnity[.]neto<\/li>\n<li>nxohlq@vzy.dpyj[.]com<\/li>\n<\/ul>\n<p>Una tercera categor\u00eda de spam se relaciona con la extorsi\u00f3n, en la que a los destinatarios de correo electr\u00f3nico se les pide que realicen un pago de $1800 en Bitcoin para eliminar videos vergonzosos de ellos mismos que fueron grabados usando un supuesto troyano de acceso remoto instalado en sus sistemas.<\/p>\n<p>&#8220;El actor falsifica la propia direcci\u00f3n de correo electr\u00f3nico del usuario y lo desaf\u00eda a verificarla y verla&#8221;, Infoblox. El correo electr\u00f3nico le dice al usuario que su dispositivo ha sido comprometido y, como prueba, el actor alega que el mensaje fue enviado desde la propia cuenta del usuario. &#8220;<\/p>\n<p>La divulgaci\u00f3n se produce cuando los sectores legal, gubernamental y de la construcci\u00f3n han sido blanco de una nueva campa\u00f1a de phishing denominada Butcher Shop que tiene como objetivo robar credenciales de Microsoft 365 desde principios de septiembre de 2024.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/1736370757_791_Dominios-descuidados-utilizados-en-Malspam-para-evadir-las-protecciones-de.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/1736370757_791_Dominios-descuidados-utilizados-en-Malspam-para-evadir-las-protecciones-de.png\" alt=\"\" border=\"0\" data-original-height=\"574\" data-original-width=\"1600\"\/><\/a><\/div>\n<p>Los ataques, seg\u00fan Obsidian Security, abusan de plataformas confiables como Canva, Dropbox DocSend y Google Accelerated Mobile Pages (AMP) para redirigir a los usuarios a sitios maliciosos. Algunos de los otros canales incluyen correos electr\u00f3nicos y sitios de WordPress comprometidos.<\/p>\n<p>&#8220;Antes de mostrar la p\u00e1gina de phishing, se muestra una p\u00e1gina personalizada con un torniquete de Cloudflare para verificar que el usuario es, de hecho, un humano&#8221;, dijo la empresa. <a rel=\"noopener nofollow\" href=\"https:\/\/www.obsidiansecurity.com\/blog\/butcher-shop-phishing-campaign-targets-organizations\/\" target=\"_blank\">dicho<\/a>. &#8220;Estos torniquetes dificultan que los sistemas de protecci\u00f3n de correo electr\u00f3nico, como los esc\u00e1neres de URL, detecten sitios de phishing&#8221;.<\/p>\n<p>En los \u00faltimos meses, se han observado campa\u00f1as de phishing por SMS que se hacen pasar por autoridades policiales en los Emiratos \u00c1rabes Unidos para enviar solicitudes de pago falsas por infracciones de tr\u00e1fico, infracciones de estacionamiento y renovaciones de licencias inexistentes. Algunos de los sitios falsos creados con este fin han sido <a rel=\"noopener nofollow\" href=\"https:\/\/www.resecurity.com\/blog\/article\/cybercriminals-impersonate-dubai-police-to-defraud-consumers-in-the-uae-smishing-triad-in-action\" target=\"_blank\">atribuido<\/a> a un conocido actor de amenazas llamado Smishing Triad.<\/p>\n<p>Los clientes bancarios en Medio Oriente tambi\u00e9n han sido blanco de un sofisticado esquema de ingenier\u00eda social que se hace pasar por funcionarios gubernamentales en llamadas telef\u00f3nicas y emplea software de acceso remoto para robar informaci\u00f3n de tarjetas de cr\u00e9dito y contrase\u00f1as de un solo uso (OTP).<\/p>\n<p>Se ha descubierto que la campa\u00f1a, considerada obra de hablantes nativos de \u00e1rabe desconocidos, est\u00e1 dirigida principalmente contra consumidoras a quienes se les han filtrado sus datos personales a trav\u00e9s de malware ladr\u00f3n en la web oscura.<\/p>\n<p>&#8220;La estafa se dirige espec\u00edficamente a personas que previamente han presentado quejas comerciales al portal de servicios gubernamentales, ya sea a trav\u00e9s de su sitio web o aplicaci\u00f3n m\u00f3vil, en relaci\u00f3n con productos o servicios comprados a comerciantes en l\u00ednea&#8221;, Group-IB <a rel=\"noopener nofollow\" href=\"https:\/\/www.group-ib.com\/blog\/social-engineering-in-action\/\" target=\"_blank\">dicho<\/a> en un an\u00e1lisis publicado hoy.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/itdr-guide-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/1735735832_165_Entidades-iranies-y-rusas-sancionadas-por-interferencia-electoral-utilizando-inteligencia.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Los estafadores se aprovechan de la voluntad de las v\u00edctimas de cooperar y obedecer sus instrucciones, con la esperanza de recibir reembolsos por sus compras insatisfactorias&#8221;.<\/p>\n<p>Otra campa\u00f1a identificada por Cofense <a rel=\"noopener nofollow\" href=\"https:\/\/cofense.com\/blog\/hackers-spoof-social-security-administration-to-deliver-screenconnect-remote-access-tool\" target=\"_blank\">implica<\/a> enviar correos electr\u00f3nicos que dicen ser de la Administraci\u00f3n de la Seguridad Social de los Estados Unidos que incluyen un enlace para descargar un instalador del software de acceso remoto ConnectWise o dirigen a las v\u00edctimas a p\u00e1ginas de recolecci\u00f3n de credenciales.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/1736370759_836_Dominios-descuidados-utilizados-en-Malspam-para-evadir-las-protecciones-de.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/1736370759_836_Dominios-descuidados-utilizados-en-Malspam-para-evadir-las-protecciones-de.png\" alt=\"\" border=\"0\" data-original-height=\"1039\" data-original-width=\"1680\"\/><\/a><\/div>\n<p>El desarrollo se produce cuando los dominios gen\u00e9ricos de nivel superior (gTLD) como .top, .xyz, .shop, .vip y .club representaron el 37% de los dominios de delitos cibern\u00e9ticos reportados entre septiembre de 2023 y agosto de 2024, a pesar de tener solo el 11%. del mercado total de nombres de dominio, seg\u00fan un <a rel=\"noopener nofollow\" href=\"https:\/\/interisle.net\/insights\/cybercrimesupplychain2024\" target=\"_blank\">informe<\/a> del grupo consultor Interisle.<\/p>\n<p>Estos dominios se han vuelto lucrativos para los actores maliciosos debido a los bajos precios y la falta de requisitos de registro, lo que abre las puertas al abuso. Entre los gTLD ampliamente utilizados para el delito cibern\u00e9tico, 22 ofrec\u00edan tarifas de registro inferiores a 2 d\u00f3lares.<\/p>\n<p>Tambi\u00e9n se ha descubierto que los actores de amenazas anuncian un complemento malicioso de WordPress llamado PhishWP que puede usarse para crear p\u00e1ginas de pago personalizables que imitan a procesadores de pagos leg\u00edtimos como Stripe para robar datos personales y financieros a trav\u00e9s de Telegram.<\/p>\n<p>&#8220;Los atacantes pueden comprometer sitios web leg\u00edtimos de WordPress o configurar sitios fraudulentos para instalarlo&#8221;, SlashNext <a rel=\"noopener nofollow\" href=\"https:\/\/slashnext.com\/blog\/phishwp-turns-sites-into-phishing-traps\/\" target=\"_blank\">dicho<\/a> en un nuevo informe. &#8220;Despu\u00e9s de configurar el complemento para imitar una pasarela de pago, los usuarios desprevenidos son atra\u00eddos a ingresar sus datos de pago. El complemento recopila esta informaci\u00f3n y la env\u00eda directamente a los atacantes, a menudo en tiempo real&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/01\/neglected-domains-used-in-malspam-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Los investigadores de ciberseguridad han descubierto que los malos actores siguen teniendo \u00e9xito al falsificar las direcciones de<\/p>\n","protected":false},"author":1,"featured_media":1522958,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,92391,271456,16684,28129,246,201033,126911,4654,201031,4659,4653,4655,18,17162,42,246983,255454,246984,201032,55715,11742,246982,4660],"class_list":["post-1522957","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-descuidados","tag-dmarc","tag-dominios","tag-evadir","tag-las","tag-las-noticias-de-los-piratas-informaticos","tag-malspam","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-protecciones","tag-seguridad","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-software-malicioso-ransomware","tag-spf","tag-utilizados","tag-violacion-de-datos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1522957","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1522957"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1522957\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1522958"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1522957"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1522957"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1522957"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}