La firma de seguridad OpenDNS afirma haber desarrollado una nueva forma de detectar y bloquear los APT utilizando procesamiento de lenguajes naturales (PLN) y otro tipo de analíticas para identificar los dominios falsificados utilizados con frecuencia para distribuir malware.

OpenDNS Security Labs analizó los datos de los conocidos ataques Carbanak así como DarkHotel y otras campañas de APT como Anunak.

De esto se creó un modelo predictivo para detectar "dominios de phishing tipo squatting/targeted potencialmente maliciosos" que a menudo sirven como dominios C&C en ataques dirigidos.

El investigador Jeremías O'Connor explicó más en una entrada de blog:

"Esencialmente estamos definiendo un 'lenguaje malicioso' dentro de la naturaleza léxica de tráfico DNS y aplicando análisis de sensaciones en FQDN [nombres de dominio completos]. En un intento de construir este lenguaje, hemos creado un cuerpo de dominios que producen un patrón común en el que los adversarios fusionan ciertas palabras del diccionario con cadenas relacionadas a las compañías".

La herramienta resultante es NLPRank:

"NLPRank utiliza la heurística como NLP, correlaciones y ponderaciones ASN, patrones de datos WHOIS y el análisis de etiquetas HTML para clasificar este tipo de dominios de ataque. NLPRank utiliza una entrada mínima de distancia-edición en subcadenas para comprobar la distancia entre la palabra legítima y los dominios tipo squatting (ej. malware.com vs. rnalware.com, linkedin.com vs. 1inkedin.net)."

NLPRank también realiza un seguimiento para comprobar si las ASN subyacentes que están practicando spoofing no están asociadas con la compañía del dominio en cuestión.

Los ciberdelincuentes logran eludir cada vez más a las herramientas tradicionales de comprobación basadas en la reputación, actualmente son capaces de generar y registrar nuevos dominios de phishing que parecen convincentes para la mayoría de los usuarios de forma automática y rápida.

O'Connor afirmó que la herramienta ya ha sido capaz de identificar algunos de los dominios utilizados en ataques Anunak y Carbanak, así como algunos ataques de phishing de PayPal avanzados.

La campaña Carbanak fue revelada por primera vez el mes pasado, dirigida a 100 bancos alrededor de todo el mundo. La banda criminal responsable comenzó muchos de esos ataques con un simple correo electrónico de phishing que engañó a un empleado del banco para descargar el software malicioso Carbanak.

Los informes sugieren que los atacantes robaron hasta mil millones de dólares durante un período de dos años.