A la hora de evitar el malware existen una serie de consejos universales que, si aplicamos al pie de la letra, tenemos muchas papeletas de librarnos. Sin embargo, no todo es infalible y mucho menos en el mundo de la tecnología. Nos referimos concretamente al consejo de “descarga únicamente desde la web oficial o desde las tiendas de aplicaciones oficiales”. El consejo está muy bien, pero no tiene un 100% de éxito a la hora de evitar los virus y otro tipo de amenazas de seguridad. En este caso, ni Microsoft se libra de un ataque que ha aprovechado sus propios subdominios para propagar malware.
Los s suelen ser los principales culpables de una infección de malware. Esto ocurre por pinchar dónde no deben, por abrir el adjunto que no deben o por descargar algo que no deben. Sin embargo, en esta ocasión nos libramos ya que las descargas parecían proceder de una fuente legítima como es la web de Microsoft, aunque nadie podía saber que, en realidad, estábamos siendo víctimas de un fraude.
Secuestro de subdominios de Microsoft
La pregunta clave es si descargaríamos algo de mybrowser.microsoft.com, como el navegador Edge, o si cambiáramos la contraseña accediendo a identityhelp.microsoft.com. Seguro que muchos pensaríamos que sí de entrada, pero es la respuesta incorrecta. Lo cierto es que se trata de subdominios secuestrados a Microsoft que han puesto en riesgo a los s y que han demostrado que no se han tomado todas las medidas de seguridad necesarias.
Según han detectado algunos investigadores de seguridad, hasta 670 subdominios de Microsoft de páginas como microsoft.com, skype.com, visualstudio.com y windows.com, han sido utilizados para propagar malware o para el phishing. Todos estos subdominios, de los que la compañía de Redmond tiene montones, suelen apuntan a Azure. Por ejemplo, mybrowser.microsoft.com resuelve en algo estilo webserver9000.azurewebsites.net.
Después de un tiempo o cuando dejan de ser útiles, Microsoft abandona muchos de estos subdominios, pero los los registros DNS con las respuesta HTTP, tal como hicieron ellos para detectar los 670 subdominios que se estaban utilizando para propagar malware.