Los ataques de phishing homógrafos (también conocidos como homógrafos) se basan en la idea de usar caracteres similares para pretender ser otro sitio. Si bien la mayoría de ellos son fácilmente reconocibles por los usuarios finales con la capacitación adecuada (por ejemplo, g00gle.com), los ataques de homógrafos basados en nombres de dominio internacionales (IDN) pueden ser irreconocibles de los dominios que están falsificando.

 

La mayor parte de la investigación de seguridad sobre los ataques de homógrafos de IDN se ha centrado en los navegadores, pero otras aplicaciones, que aún son vulnerables, utilizan los nombres de dominio. Recientemente probamos varias otras aplicaciones y el comportamiento fue inconsistente: algunas aplicaciones siempre muestran la dirección real, mientras que otras muestran un nombre internacional. Pero el elefante en la habitación fue sorprendente: todas las aplicaciones y versiones de Microsoft Office eran vulnerables a los ataques homógrafos de IDN, incluidos Outlook, Word, Excel, OneNote y PowerPoint.

 

Fig 1: Ejemplo de resolución de nombre de dominio internacional en Microsoft Office y navegador

 

En la siguiente captura de pantalla (de Outlook 365), todos los enlaces apuntan a un dominio apple.com falsificado. Incluso si un navegador decide mostrar el nombre real después de abrir el enlace, el cliente de correo electrónico usa el nombre para mostrar en el panel de vista previa. Los usuarios, que están capacitados para validar un enlace en un cliente de correo electrónico antes de hacer clic en él, serán susceptibles de hacer clic en él porque aún no se ha traducido a un nombre de dominio real en su navegador. El nombre de dominio real solo se vería después de que la página haya comenzado a abrirse. El sitio web que se abre incluso tiene un certificado de seguridad válido y está totalmente controlado por un actor de amenazas.

 

Fig. 2: URL maliciosa como se ve en Outlook 365

 

Informamos este problema a Microsoft en octubre de 2021 y el Centro de respuestas de seguridad de Microsoft confirmó que nuestros hallazgos son válidos. A partir del 2 de junio de 2022, no está claro si Microsoft solucionará este problema o cuándo lo hará.

 

Fig. 3: Las aplicaciones de Microsoft Office (Word, Excel, PowerPoint y otras) muestran una vista previa de los enlaces homógrafos indistinguibles del dominio falsificado. El dominio real vinculado en este documento es xn--n1aag8f.com.

 

La buena noticia es que lo más probable es que los ataques homógrafos no se generalicen, ya que no son fáciles de configurar o mantener. Sin embargo, son una herramienta peligrosa y eficaz utilizada para campañas dirigidas por APT (o amenazas persistentes avanzadas) y adversarios de alto nivel como Big Game Hunting por grupos de Ransomware-as-a-Service, ya sea que se dirijan a empresas específicas de alto valor (ballena phishing) o temas de alto valor (por ejemplo, intercambios de criptomonedas populares).

 

Historial de vulnerabilidades de homógrafos

 

Internet no fue creado por un solo inventor. En cambio, fue desarrollado por muchas personas diferentes, trabajando en diversos estándares y tecnologías. Estos pioneros de Internet tenían dos cosas en común: usaban el alfabeto latino y su idioma común era el inglés. Internet no solo fue inventado por hablantes de inglés, sino que fue diseñado para el idioma inglés.

 

Crecí en Checoslovaquia, un país que usa dos alfabetos latinos ligeramente diferentes, uno para la parte occidental del país (Chequia) y otro para la parte oriental (Eslovaquia). Diríjase 60 millas (100 km) más al este de mi lugar de nacimiento y encontrará no solo un idioma diferente, sino también un alfabeto cirílico muy diferente. ¡En Europa, puedes perderte un giro y terminar en un pueblo con un idioma completamente diferente!

 

Después del final de la Guerra Fría, el acceso a las tecnologías modernas finalmente se abrió para nosotros en Checoslovaquia y los demás países de Europa del Este. Estábamos ansiosos por utilizar estas nuevas tecnologías, pero descubrimos que estaban diseñadas para el mundo occidental. Necesitábamos encontrar una forma de adaptarlos a nuestros propios idiomas. Los hablantes de árabe comenzaron a usar números para sustituir ciertas letras que no se encuentran en el alfabeto inglés basado en el latín. Los hablantes de eslavo eliminaron los signos diacríticos (esos caracteres especiales sobre letras como "ž"). Dejé de usar mi nombre real “Žugec” y cambié al más simple “Zugec” hace muchos años. De hecho, esta es la primera vez en varios años que escribo mi nombre de la manera correcta. Aceptamos las limitaciones de diseño del Internet original (sin pensar en ellas) y seguimos adelante.

 

Décadas más tarde, se introdujo un nuevo mecanismo llamado Internacionalización de nombres de dominio en aplicaciones (IDNA). Este nuevo estándar permitió el uso de caracteres no estándar en los nombres de dominio. Finalmente pude obtener un dominio žugec.sk, pero no lo necesitaba ni lo quería. Era una solución en busca de un problema.

 

Los nombres de dominio internacionales se basan en Punycode. Punycode puede representar caracteres Unicode utilizando el conjunto de caracteres ASCII limitado; por ejemplo, mi dominio localizado žugec.sk es en realidad un dominio xn--ugec-kbb.sk. Puede pensar en ellos como un nombre para mostrar (žugec.sk) y el nombre real (xn--ugec-kbb.sk).

 

Abuso de nombres de dominio internacionales

 

Los ataques de phishing de homógrafos se basan en la idea de utilizar caracteres similares para simular ser otro sitio. El ataque homógrafo más básico es sustituir “0” por “o” (por ejemplo, g00gle.com). Incluso si es simple, este sigue siendo un método bastante exitoso.

 

Pero con la introducción de nombres de dominio internacionales, los investigadores de seguridad y los actores de amenazas notaron que las letras en diferentes alfabetos pueden verse muy similares. A menudo solo hay diferencias menores: mi idioma no solo tiene la letra "a", sino también las letras "á" y "ä". Es relativamente fácil pasar por alto esto en dominios como "microsofť.com" (la última letra es "Ť", no "T"). Otras diferencias son aún más sutiles o completamente invisibles; por ejemplo, a primera vista, la letra "a" es casi idéntica en los alfabetos latino (U+0061) y cirílico (U+0430), como se muestra en la figura 4 a continuación, pero las computadoras en realidad las interpreta como dos letras únicas.

 

Fig. 4: Comparación de las versiones latina y cirílica de la letra "a", fuente Wikipedia

 

Los caracteres que se ven similares se conocen como homógrafos (u homoglifos) y existen en los tres principales alfabetos europeos (latín, cirílico y griego). Los ataques homógrafos abusan de las similitudes entre estos caracteres y del hecho de que Unicode los trata como entidades separadas en lugar de unificarlos bajo el mismo número de código. Para los humanos, "a" y "a" se ven iguales, pero las computadoras las ven como una letra completamente diferente.

 

Fig. 5: Diagrama de Venn de letras superpuestas en alfabetos europeos (latín, griego y cirílico), fuente Wikipedia

 

Los actores de amenazas crean nombres de dominio internacionales que se asemejan a un nombre de dominio de destino al planificar un ataque homógrafo. Este nombre de dominio puede estar basado en el mismo guión; por ejemplo, https://www.bițdefender.com usa el alfabeto rumano basado en el latín con la "t" reemplazada por el carácter similar con la adición de un diacrítico "ț") y todos los demás caracteres del alfabeto latino.

 

También pueden usar una escritura no latina; por ejemplo, https://оорѕ.com/ está diseñado con letras del alfabeto cirílico, pero parece familiar para los lectores latinos. Bajo ciertas condiciones, los homógrafos son indetectables por un usuario final habitual. ¿Puedes decir cuál es el correcto, "apple.com" o "applе.com"?

 

La respuesta es que ambos están equivocados: el primero toma prestada una "a" y el segundo toma prestada una "e" del alfabeto cirílico.

 

Los ataques homógrafos no son un concepto nuevo. Se describieron por primera vez en 2001 (The Homograph Attack) y este tipo de ataques regresan regularmente en la comunidad de seguridad, porque incluso después de casi 20 años, este problema aún no se ha resuelto por completo. El investigador de seguridad DobbyWanKenobi descubrió recientemente un método para suplantar la información de contacto en Outlook.

 

Registradores de dominios y navegadores

 

A lo largo de los años, ha habido múltiples intentos de resolver este problema. Hoy en día, confiamos en una combinación de verificación de registros de dominios y conciencia integrada en las aplicaciones de los clientes como los dos métodos más comunes para prevenir el riesgo de estos ataques.

 

El primer enfoque se centra en el proceso de registro de dominio. Por ejemplo, los nombres de dominio no pueden mezclar diferentes idiomas/scripts, lo que hace que estos ataques sean más difíciles de ejecutar. No puede tomar un nombre de dominio como amazon.com y sustituir solo una de las letras con una letra del alfabeto cirílico. Cuando se detecta un carácter Unicode en el nombre de dominio solicitado durante el registro, se le pide que especifique el idioma y todas las letras deben provenir de ese alfabeto.

 

Si su dominio de destino consiste en una combinación de letras "ј і s і а е о р с у х s" (la letra "s" no existe en el alfabeto ruso/ucraniano, pero existe en macedonio), puede registrar un dominio falso que es irreconocible del dominio original en el alfabeto latino (por ejemplo, mire el dominio https://оорѕ.com/ registrado por Bitdefender, que se basa en la escritura cirílica y el alfabeto macedonio). Si su dominio de destino contiene otras letras que no están presentes en los alfabetos cirílicos, puede usar uno de los idiomas latinos como base y crear un impostor imperfecto, por ejemplo, amazoń.com (usando la letra ñ del alfabeto polaco).

 

El segundo enfoque se basa en el manejo del software del cliente de los nombres de dominio IDN; esto generalmente se refiere a los navegadores, pero otro software como Slack o Microsoft Teams también tienen un manejo especial para los nombres de dominio internacionales. Cuando el software del cliente encuentra un nombre de dominio internacional (siempre con el prefijo xn--), puede decidir mostrar el nombre real en la barra de direcciones (https://xn--ugec-kbb.sk) o mostrar el nombre para mostrar (https ://žugec.com). En otras palabras, depende del software del cliente decidir cómo lidiar con estos sitios potencialmente maliciosos. Y la respuesta no siempre es la misma. La mayoría de los navegadores mostrarán el nombre real (en formato ASCII) cuando el sitio sea sospechoso. Firefox (incluso la última versión 93) muestra el nombre para mostrar (el razonamiento de los desarrolladores está aquí).

 

 

Tenga en cuenta que el sitio de la captura de pantalla anterior tiene un certificado de seguridad válido. Debido a que el dominio real es https://xn--n1aag8f.com, todo lo que se necesita es un certificado para ese sitio, que se puede obtener fácilmente de Let's Encrypt. Ver el nombre de dominio real y un símbolo de comunicación cifrada es más que suficiente para que la mayoría de los usuarios finales continúen. En los datos de telemetría de Bitdefender Labs, vemos que casi el 10 % de los dominios homógrafos usan HTTPS. La combinación de certificados y HTTPS mejora aún más la confianza del usuario final para acceder a un sitio malicioso. Para ver un buen ejemplo de un sitio falsificado, lea nuestro informe sobre el ataque de phishing homógrafo con certificado TLS válido de 2019.

 

Los ataques de homógrafos de IDN no son comunes: requieren un registro de dominio personalizado y la mayoría de los navegadores ya no usan el nombre para mostrar (Unicode), sino que usarán el nombre real (ASCII). Si bien esto lo hace poco práctico para la mayoría de los atacantes, es una opción viable para los actores de amenazas altamente motivados.

 

Nuestras recomendaciones

 

Cubra la posibilidad de ataques homógrafos en su capacitación de concientización del usuario. "Verifique la URL y luego el ícono de candado" podría no ser lo suficientemente bueno, especialmente para los empleados con mayor riesgo de phishing selectivo.

En lugar de depender únicamente de los usuarios, implemente una solución de seguridad de punto final que detecte y bloquee sitios web maliciosos. Bitdefender Network Attack Defense (una función de la solución de seguridad de puntos finales de Bitdefender) proporciona una protección perfecta para los usuarios finales frente a esta y muchas otras amenazas similares.

Utilice los servicios de reputación de IP y URL para todos sus dispositivos. Como regla simple, si la URL comienza con xn--, el sitio es sospechoso. Los nombres de dominio internacionales rara vez se usan para actividades no maliciosas, excepto en algunos países. Integre Bitdefender Threat Intelligence (TI) con su infraestructura de seguridad existente para ofrecer inteligencia contextual actualizada sobre URL, IP, dominios y certificados.

Utilice la autenticación multifactor para evitar la recolección de credenciales.

Mantenga su navegador (y otras herramientas de productividad) actualizados. El comportamiento predeterminado de sus aplicaciones afecta su capacidad para detectar ataques homógrafos.

Considere la posibilidad de ataques homógrafos en la cadena de suministro. ¿Cuánto daño se puede causar falsificando las identidades de dominio de sus proveedores, clientes o socios críticos?

Registre todos los dominios que puedan estar asociados a su empresa. Debido a que los IDN están limitados a un solo conjunto de caracteres, las combinaciones son limitadas. Durante nuestra investigación, notamos que pocas empresas registran proactivamente todos los posibles dominios de suplantación de identidad.

 

Resumen

 

Revisamos los datos en nuestra telemetría todos los meses para obtener más información sobre el panorama de amenazas de ataques homógrafos. Vemos una clara tendencia a apuntar a las operaciones financieras, con un enfoque principal en los mercados de criptomonedas. Para obtener más detalles sobre los principales dominios y categorías falsificados, asegúrese de leer nuestro informe mensual sobre amenazas de Bitdefender.

 

Recurso adicional:

 

Lea sobre otra vulnerabilidad encontrada en Microsoft Office: CVE-2022-30190 (Follina).

 

Nos gustaría agradecer a los Bitdefenders Alin Damian y Horia Zegheru (ordenados alfabéticamente) por su ayuda en la elaboración de este informe.

 

Fuente: Bitdefender Central