Los dominios infirc[.]com e infird[.]com han causado bastante revuelo recientemente, y han destacado los peligros de las extensiones web infectadas o maliciosas.
Infirc[.]com se observó por primera vez en nuestro backend apareciendo como el encabezado referer, aunque no está alojado ni referenciado por nuestro sitio.
Nuestro directorio público de dominios indexó el dominio inmediatamente después, y nuestro motor de detección interno lo marcó como potencialmente malicioso.
Ve a esta página en nuestro directorio.
Infirc[.]com es un dominio recientemente registrado sin un propósito claro o reputación establecida.
Unas semanas después, notamos un aumento significativo en las impresiones de búsqueda y clics en esta página, lo que indica que las personas estaban investigando este dominio. Esto nos impulsó a profundizar más.
Un dominio malicioso dentro de una extensión web (plugin)
Según la fuente, sugiere que el script se encontró en cside, pero no estamos infectados. La única otra posibilidad son visitas desde un navegador con una extensión web que intenta inyectar código.
En algunos casos, los IDs de extensión se filtran. En este caso, no pudimos encontrar uno.
Si la extensión web de alguien está infectada, o un atacante crea una, pueden usarse para atacar sitios web. Por ejemplo, tienes un sitio web de comercio electrónico que permite a los visitantes crear cuentas y realizar transacciones. Un visitante con una extensión web infectada compra un producto. En ese proceso, sus datos personales y detalles financieros son capturados por el script malicioso de terceros dentro de la extensión infectada.
Alternativamente, una extensión maliciosa puede usar tráfico de bots para capturar cualquier tipo de información a la que no debería tener acceso.
Notamos una afluencia de solicitudes proxy originadas desde diferentes direcciones IP en todo el mundo, incluyendo:
- República Checa
- China
- Londres (vía VPN)
- Japón
Los registros del 17 de septiembre de 2024 muestran el rastro más temprano de infirc[.]com haciendo solicitudes a nuestro backend. A medida que avanzaba el tiempo, especialmente alrededor del 13 de octubre de 2024, observamos 145 solicitudes proxy dirigidas hacia este dominio en un solo día.
Cada solicitud presentaba un user agent distinto y diferente, lo que dificultaba identificar una única fuente de actividad. Probablemente tráfico impulsado por bots o un ataque coordinado a través de una variedad de user agents y VPNs.
El 15 de octubre, capturamos e indexamos infird[.]com, que mostró similitud.
Ve a esta página en nuestro directorio.
Los scripts maliciosos cargados por los dominios
Profundizar más reveló una red compleja de scripts, extensiones y dominios externos. Tanto infirc[.com] como infird[.com] alojan el mismo script, como se puede ver en ambas páginas:
- https://infird[.]com/cdn/afde4f0c-4096-4aeb-b345-d1aea539851b
- https://infirc[.]com/cdn/c7fa7451-6f95-4815-ac32-b8cc2537837a
Ambos scripts hacían referencia a AliExpress y otro dominio, rano[.]info. Este último podría ser un dominio de ingesta utilizado para recopilar, procesar o recibir datos de fuentes externas.
El análisis de los scripts reveló intentos de eludir mecanismos de detección comunes. Como destacó la revisión técnica, ambos dominios cargan scripts externos de fuentes no confiables como:
- zurano[.]info/zimblat?i=7OB7CVF5V7&atr=477978779El dominio zurano[.]info fue marcado como ni legítimo ni asociado con ningún servicio confiable.
También se vio que el script transmitía datos a otros servidores externos, incluyendo:
- https://overbridgenet[.]com/jsv8/offer
- Google Analytics vía el Measurement Protocol: https://www.google-analytics[.]com/mp/collect
Este comportamiento indica que infirc[.]com no solo está facilitando la carga de scripts no autorizados, sino que también está enviando datos a varios servidores externos, posiblemente para rastrear usuarios o manipular análisis.
Se identificaron dos funciones, _0xfc929c() y _0x1238ee(), en el código, lo que sugiere que el script podría estar intentando:
- Redirigir usuarios a diferentes URLs.
- Modificar enlaces o interacciones en la página sin el consentimiento del usuario.
Este tipo de comportamiento muestra un posible intento de alterar la experiencia de navegación de los usuarios o de hacer phishing de información sensible al redirigirlos a sitios maliciosos.
El script incluye verificaciones específicas para evitar ejecutarse en entornos particulares, como plataformas como Google, Bing y otras redes sociales, para evitar la detección en entornos de alto perfil y bien defendidos.
Los CSPs se utilizan ampliamente como una primera capa de protección contra ataques del lado del cliente, incluidos estos. Los atacantes saben sobre ellos y pueden eludirlos fácilmente. No dependemos de CSPs y pudimos detectarlo.
Cómo proteger tu sitio
Por favor, verifica tu código en busca de cualquier referencia a estos dominios y elimínalas. Sin embargo, esto es casi con certeza un script malicioso de terceros que está intentando ser inyectado desde el exterior.
Podemos bloquear estos intentos. Aunque es importante mencionar que si los atacantes saben sobre la presencia de cside, también pueden eludirnos. Este es un ataque proveniente del navegador de un visitante, no código malicioso de terceros ya presente en tu propio sitio. Aún así, podemos detectar e informarte sobre los intentos de los atacantes, incluyendo compartir información crucial como IPs y el momento de los intentos.
Cualquier script de terceros presente en tu sitio que esté comprometido, podemos detectarlo y bloquearlo antes de que se ejecute en el navegador de tus visitantes. Protegiéndolos a ellos, y a ti, de actores maliciosos.
Al usar nuestro plan gratuito, estás protegido de este y otros ataques similares.
