Un sitio web creado por un fabricante de PC dell inc. para ayudar a los clientes a recuperarse de software malicioso y otras enfermedades informáticas pueden haber sido secuestradas durante algunas semanas este verano por personas que se especializan en implementar dicho malware, según ha sabido KrebsOnSecurity.
Hay un programa instalado en prácticamente todas las computadoras Dell llamado «Aplicación de respaldo y recuperación de Dell». Está diseñado para ayudar a los clientes a restaurar sus datos y computadoras a su estado predeterminado de fábrica en caso de que ocurra un problema con el dispositivo. Ese programa de copia de seguridad y recuperación comprueba periódicamente un nombre de dominio bastante pegadizo: DellBackupandRecoveryCloudStorage.com — que hasta hace poco era fundamental para las soluciones de copia de seguridad, recuperación y almacenamiento en la nube de los datos de los clientes del fabricante de PC Dell.
En algún momento de este verano, DellBackupandRecoveryCloudStorage.com fue arrebatado repentinamente a un antiguo contratista de Dell durante un mes y expuesto a contenido cuestionable. Lo que es más preocupante, hay indicios de que el dominio pudo haber estado enviando malware antes de que el contratista de Dell recuperara el control sobre él.
Imagen: Wikipedia
El propósito de DellBackupandRecoveryCloudStorage.com está inscrito en el corazón de innumerables PC que Dell entregó a los clientes en los últimos años. El dominio es revisado periódicamente por la «aplicación Dell Backup and Recovery» que «permite al usuario hacer una copia de seguridad y restaurar sus datos con solo unos pocos clics».
Este programa viene en dos versiones: Básica y Premium, explica “Jesse L.”, un enlace con los clientes de Dell y un bloguero en el sitio de la empresa.
“La versión básica viene preinstalada en todos los sistemas y permite al usuario crear medios de recuperación del sistema y realizar una copia de seguridad de las aplicaciones y los controladores instalados de fábrica”, Jesse L. escribe. “También ayuda al usuario a restaurar la computadora a la imagen de fábrica en caso de un problema con el sistema operativo”.
El enlace con el cliente de Dell, Jesse L., habla sobre cómo el programa en cuestión está instalado de manera predeterminada en todas las computadoras Dell.
En otras palabras: si DellBackupandRecoveryCloudStorage.com cayera en las manos equivocadas, podría usarse para imponer software malicioso a los usuarios de Dell que buscan consuelo y refugio de esas tonterías.
Aún no está claro cómo o por qué DellBackupandRecoveryCloudStorage.com se alejó de SoftThinks.com — un proveedor de soluciones de imágenes y respaldo de software con sede en Austin, Texas, que originalmente registró el dominio a mediados de 2013 y lo ha controlado la mayor parte del tiempo desde entonces. Pero alguien en SoftThinks aparentemente olvidó renovar el dominio a mediados de junio de 2017.
SoftThinks enumera a Dell entre algunos de sus «grandes socios» (vea la captura de pantalla a continuación). No ha respondido a las solicitudes de comentarios. Algunos de sus otros socios incluyen La mejor compra y Radio Shack.
Algunos de los socios de SoftThinks. Fuente: SoftThinks.com
Desde principios de junio hasta principios de julio de 2017, DellBackupandRecoveryCloudStorage.com fue propiedad de Dmitrii Vassilev de “TeamInternet.com”, una empresa que cotiza en Alemania y que se especializa en vender lo que parece ser tráfico typosquatting. Team Internet también parece estar vinculado a un negocio de monetización de dominios llamado EstacionamientoTripulación.
Si no está seguro de lo que es typosquatting, piense en lo que sucede a veces cuando está escribiendo una URL en el campo de dirección del navegador y toca con el dedo gordo un solo carácter y de repente es redirigido al tipo de contenido que lo hace mirar alrededor. rápidamente para ver si alguien te vio mirándolo. Para obtener más información sobre Team Internet, consulte esta esclarecedora publicación de agosto de 2017 de cris panadero en empresa de infraestructura de internet Din.
Podría ser que Team Internet no haya hecho nada malo con el nombre de dominio y que simplemente lo haya revendido o arrendado a alguien que sí lo haya hecho. Pero aproximadamente dos semanas después de que el contratista de Dell perdiera el control del dominio, el servidor en el que estaba alojado comenzó a mostrar alertas de malware.
Eso es según Celedonio Albarránvicepresidente adjunto de infraestructura y seguridad de TI en Equidad Residencialun fideicomiso de inversión en bienes raíces que invierte en apartamentos.
Albarran dijo que Equity es responsable de miles de computadoras, y que varias de esas máquinas a fines de junio intentaron comunicarse con DellBackupandRecoveryCloudStorage.com, pero no pudieron hacerlo porque la dirección de Internet vinculada al dominio era nueva y porque esa dirección había sido marcada. por dos firmas de seguridad como empujando software malicioso.
En ese día en particular, cualquier persona que visitara DellBackupandRecoveryCloudStorage.com simultáneamente se habría dirigido a la dirección de Internet 54-72-9-51 (He reemplazado los puntos con guiones por razones de seguridad). Albarran dijo que la primera alerta llegó el 28 de junio de una herramienta de seguridad de rápido7 que marcó una detección de malware en esa dirección de Internet.
Otro producto antimalware que utiliza Equity Residential es Negro carbón, que el 28 de junio detectó una razón por la cual una computadora Dell dentro de la empresa no debería poder visitar dellbackupandrecoverycloudstorage.com. Según Albarran, esa segunda alerta fue generada por Abuso.chuna empresa suiza de seguridad de infraestructuras y activa defensora de los abusos.
Este registro de Carbon Black muestra que dellbackupandrecoverycloudstorage.com se comunicó con una dirección de Internet desagradable el 28 de junio de 2017.
El host del dominio parece haber sido marcado por Abuse.ch’s Rastreador de ransomwareque es una lista actualizada de direcciones de Internet y dominios que tienen un historial de endilgar ransomware, una amenaza que cifra sus archivos con un cifrado difícil de descifrar y luego le hace pagar por una clave para desbloquear los archivos.
Albarran le dijo a KrebsOnSecurity que su compañía nunca pudo encontrar ninguna evidencia de que las computadoras en sus redes que se conectaban a DellBackupandRecoveryCloudStorage.com tuvieran malware instalado como resultado del tráfico. Pero dijo que sus sistemas no pudieron visitar los dominios el 28 de junio de 2017 y que su empleador notificó de inmediato a Dell sobre el problema.
“Pocas semanas después de eso, confirmaron que solucionaron el problema”, dijo Albarran. “Simplemente reconocieron el problema y dijeron que estaba solucionado, pero no ofrecieron ningún comentario además de eso”.
Bóveda alienígena‘s Intercambio de amenazas abiertas dice la direccion de internet que se asignó a DellBackupandRecoveryCloudStorage.com a fines de junio es un servidor de Amazon que es «activamente malicioso» (incluso hoy), categorizándolo como una dirección conocida por enviar spam.
Contactado para comentar sobre el problema del dominio, portavoz de Dell Ellen Murphy compartió la siguiente declaración:
“Un dominio como parte de la función de respaldo en la nube para la aplicación Dell Backup and Recovery (DBAR), www.dellbackupandrecoverycloudstorage.com, expiró el 1 de junio de 2017 y posteriormente fue adquirida por un tercero. La referencia de dominio en la aplicación DBAR no se actualizó, por lo que DBAR continuó comunicándose con el dominio después de que expiró. Se alertó a Dell de este error y se solucionó. Dell descontinuó la aplicación Dell Backup and Recovery en 2016”.
Le pedí a Dell más información sobre este incidente, por ejemplo, si la empresa sabe si algún cliente resultó perjudicado como resultado de este descuido bastante grave. Actualizaré esta historia en caso de que tenga noticias de Dell.
Esta no es la primera vez que la falta de registro de un nombre de dominio genera un problema de seguridad para una empresa que debería estar muy preocupada por la seguridad. A principios de este mes, los expertos notaron que los sitios web de las agencias de crédito unión trans y equifax Ambos estaban redirigiendo los navegadores a anuncios emergentes que intentaban disfrazar el adware y el spyware como una actualización de Adobe Flash Player.
Los episodios de software espía en los sitios web de Equifax y Trans Union fueron posibles porque ambas empresas subcontrataron el comercio electrónico y el marketing digital a Clic de fuegoun producto de marketing digital ya desaparecido dirigido por río digital. Fireclick a su vez invocó un dominio llamado netflame.cc. Pero según una historia del 13 de octubre en El periodico de Wall Streetel registro de Netflame «se publicó en octubre de 2016, tres meses después de que Digital River finalizara el soporte para Fireclick como parte de una ‘limpieza de dominio en curso'».
El problema con el nombre de dominio de soporte al cliente de Dell surge cuando los clientes de Dell siguen quejándose de que los estafadores los llaman y se hacen pasar por especialistas en soporte técnico de Dell. En muchos casos, las personas que llaman intentarán hacer que sus estafas suenen más convincentes al leer el código único de «etiqueta de servicio» de Dell impreso en la PC o computadora portátil de cada cliente de Dell.
¿Cómo pueden los estafadores tener todos estos datos si el sistema de soporte y servicio de Dell no está comprometido, se preguntan muchos clientes de Dell? Y todavía pregunte: Tres lectores me hicieron preguntas sobre estas estafas de etiquetas de servicio de Dell solo en la última semana. Dell continúa guardando silencio sobre lo que puede estar sucediendo con las estafas de etiquetas de servicio y ha instado a los clientes de Dell que son víctimas de tales estafas a que las denuncien a la empresa.
Relacionado:
Error de seguridad en las PC Dell enviadas desde el 15/8 – Krebs on Security
Un mes sin Adobe Flash Player – Krebs sobre seguridad
