“Un tipico attacco di phishing o malware web-based di solito non è molto complesso”, lo afferma un report pubblicato dal Threatpost. “Ma c’è bisogno di alcune cose per lavorare, e uno dei componenti chiave spesso è un dominio dannoso. I ricercatori passano molto tempo a individuare e “buttare” giù questi domini, ma alcuni ricercatori ora stanno provando a fare un passo avanti e prevedere quali domini verranno utilizzati per scopi dannosi. ”
Secondo il rapporto, “come gemelli annoiati al centro commerciale, i domini maligni tendono a raggrupparsi insieme, mostrando in grandi gruppi a certi fornitori di hosting. Spesso, questi sono le cosiddette società di hosting bulletproof che non si occupano e preoccupano eccessivamente delle attività che si svolgono nei domini sulle loro piattaforme.”
Decine di domini sono spesso registrati in un stesso momento, “in genere – si legge nel report – con URL alfanumerici privi di senso. Vengono usati il tempo necessario e scartati una volta che sono identificati come dannosi.”
Per contrastare questi attacchi, i ricercatori di Palo Alto Networks hanno osservato i loro comportamenti. E come risultato hanno “identificato alcuni elementi che possono aiutare a prevedere quali domini possono finire per diventare dannosi. E’ stato scoperto ad esempio che se i domini sono identificati come dannosi e sono presenti nella lista nera dai servizi di reputazione, gli hacker li abbandonano. Poi quando, dopo un periodo di tempo, il dominio viene rimosso dai sistemi di reputazione e di altre liste nere, ricade nuovamente in un elenco di domini utili per gli hacker. Nella ricerca presentata alla conferenza Virus Bulletin, Xu Wei, Zhang Yanxin e Kyle Sanders di Palo Alto hanno detto di aver sviluppato una formula che permette loro di prevedere quali di questi domini verrà utilizzato di nuovo dagli hacker.
