¿Has descargado algo de la web de Microsoft? Podrían haberte colado malware

A la hora de evitar el malware existen una serie de consejos universales que, si aplicamos al pie de la letra, tenemos muchas papeletas de librarnos. Sin embargo, no todo es infalible y mucho menos en el mundo de la tecnología. Nos referimos concretamente al consejo de “descarga únicamente desde la web oficial o desde las tiendas de aplicaciones oficiales”. El consejo está muy bien, pero no tiene un 100% de éxito a la hora de evitar los virus y otro tipo de amenazas de seguridad. En este caso, ni Microsoft se libra de un ataque que ha aprovechado sus propios subdominios para propagar malware.

Los usuarios suelen ser los principales culpables de una infección de malware. Esto ocurre por pinchar dónde no deben, por abrir el adjunto que no deben o por descargar algo que no deben. Sin embargo, en esta ocasión nos libramos ya que las descargas parecían proceder de una fuente legítima como es la web de Microsoft, aunque nadie podía saber que, en realidad, estábamos siendo víctimas de un fraude.

Secuestro de subdominios de Microsoft

La pregunta clave es si descargaríamos algo de mybrowser.microsoft.com, como el navegador Edge, o si cambiáramos la contraseña accediendo a identityhelp.microsoft.com. Seguro que muchos pensaríamos que sí de entrada, pero es la respuesta incorrecta. Lo cierto es que se trata de subdominios secuestrados a Microsoft que han puesto en riesgo a los usuarios y que han demostrado que no se han tomado todas las medidas de seguridad necesarias.

dominio nombre http www

Según han detectado algunos investigadores de seguridad, hasta 670 subdominios de Microsoft de páginas como microsoft.com, skype.com, visualstudio.com y windows.com, han sido utilizados para propagar malware o para el phishing. Todos estos subdominios, de los que la compañía de Redmond tiene montones, suelen apuntan a Azure. Por ejemplo, mybrowser.microsoft.com resuelve en algo estilo webserver9000.azurewebsites.net.

Después de un tiempo o cuando dejan de ser útiles, Microsoft abandona muchos de estos subdominios, pero los registros DNS no fueron eliminados en su momento. Por ello, mybrowser.microsoft.com sigue apuntando a webserver9000.azurewebsites.net. Ahí empieza el ataque de los ciberdelincuentes que registran una cuenta en Azure y consiguen ese subdominio webserver9000.azurewebsites.net.

En él, colocan el malware imitando la apariencia real de Microsoft y, todos los que visitan mybrowser.microsoft.com, en realidad están viendo el contenido fraudulento alojado en webserver9000.azurewebsites.net. De esta forma, casi 700 subdominios han corrido la mismo suerte.

El usuario que recibe este enlace por email o lo consigue desde algún foro (o similar) no sospecha de nada ya que, en su barra de direcciones, puede leer perfectamente “mybrowser.microsoft.com”. El problema es que, en realidad, está viendo el contenido fraudulento que han colocado unos ciberdelincuentes en Azure.

Expertos de seguridad señalan que, para Microsoft, todo sería tan sencillo como comparar los registros DNS con las respuesta HTTP, tal como hicieron ellos para detectar los 670 subdominios que se estaban utilizando para propagar malware.