Los expertos en ciberseguridad informan un aumento de 19x en las campañas maliciosas que se están lanzando desde los dominios .es, lo que lo convierte en el tercero más común, solo por detrás .com y .ru. El dominio de nivel superior (TLD) .es es el dominio reservado para el país de España, o sitios web dirigidos a audiencias de habla hispana. Cofense dijo que el abuso de la TLD. Los investigadores dijeron que el 99 por ciento de estos se centraron en el phishing de las credenciales, mientras que el otro 1 por ciento se dedicó a distribuir troyanos de acceso remoto (ratas), como rata conectada, cristal oscuro y Xworm. El malware se distribuyó a través de un nodo C2 o un correo electrónico malicioso que falsificaba una marca conocida (Microsoft en el 95 por ciento de los casos, como era de esperar), por lo que no había nada demasiado novedoso sobre las campañas que no sean los TLD. Los correos electrónicos vistos en la naturaleza tienden a ser temáticos en torno a asuntos en el lugar de trabajo, como solicitudes de recursos humanos o solicitudes de recepción de documentos, por ejemplo, y los mensajes a menudo están bien diseñados, en lugar de frases de bajo esfuerzo. Los dominios .es que alojan el contenido malicioso, como los portales falsos de inicio de sesión de Microsoft, se generan al azar en la mayoría de los casos en lugar de diseñados por un humano. Para los objetivos potenciales, esto potencialmente hace que sea más fácil detectar una URL de estilo tipográfico/tipográfico. Algunos ejemplos de los tipos de subdominios alojados en los dominios base .es son los siguientes: AG7SR[.]fjlabpkgcuo[.]es

gymi8[.]enjuagar[.]es

md6h60[.]bragas[.]Shhmkd[.]jlaercyfaw[.]Es por qué exactamente el dominio .es estaba demostrando ser tan popular que Cofense no se aventuró a ninguna conjetura. Sin embargo, dijo que, aparte de los dos TLD más abusos (.com y .ru), el resto tiende a fluctuar de cuarto a trimestre. De todos modos, la naturaleza general de las campañas de phishing que los expertos observados en los últimos seis meses sugieren que los sitios web dudosos podrían estar aquí para quedarse. Cofense dijo: «Si un actor de amenazas o un grupo de actores de amenaza aprovechara los dominios .es TLD, entonces es probable que las marcas falsificadas en campañas .es TLD indicarían ciertas preferencias de los actores de amenaza que los actores de amena actores en lugar de unos pocos grupos más especializados «. Una similitud que Cofense vio entre casi todos los dominios maliciosos. [.]páginas[.]Dev, no está claro si su reciente movimiento para hacer dominios alojados por ellos es fácil de desplegar ha atraído a los actores de amenaza a sus servicios de alojamiento en diferentes plataformas o si hay otras razones, como la forma estricta o indulgente de la nube de nube es con las quejas de abuso, los investigadores bloguearon. Con más restricciones sobre quién puede registrar un CCTLD en comparación con un TLD genérico (GTLD) como .Top y .zip, y no admite registros a granel, lo que los hace menos atractivos para aquellos que desean abusar de ellos en masa.