El nombre de dominio perl.com fue robado esta semana y ahora apunta a una dirección IP asociada con una campañas de malware.
perl.com es un sitio propiedad de la Fundación Perl y se ha utilizado desde 1997 para publicar noticias y artículos sobre el lenguaje de programación Perl.
El 27 de enero, el sitio Perl NOC publicó que el dominio perl.com fue secuestrado y ahora apunta a los usuarios a una dirección IP diferente.
Según se puede leer en el anuncio: «El dominio perl.com fue secuestrado esta mañana y actualmente apunta a un sitio de estacionamiento. Se está trabajando para intentar recuperarlo«.
El sitio perl.com estaba alojado originalmente en la dirección IP 151.101.2.132, pero desde que fue secuestrado, ahora está alojado en la dirección IP de Google Cloud 35.186.238.101.
Al visitar el sitio, los usuarios son recibidos con una página en blanco. El HTML de la página contiene secuencias de comandos de dominio estacionado en Godaddy aunque el dominio esté registrado con el registrador key-systems.net (no visite ese registrador de dominios).
Brian d Foy, autor del lenguaje de programación Perl, tuiteó que han configurado temporalmente perl.com en http://perldotcom.perl.org para los usuarios que deseen acceder al sitio hasta que se recupere el dominio:
Hasta que se resuelva el secuestro del dominio, The Perl Foundation recomienda que los usuarios no utilicen perl.com como un espejo de CPAN y que lo actualicen con el siguiente comando:
# perl -MCPAN -eshell
cpan shell -- CPAN exploration and modules installation (v2.20)
Enter 'h' for help.
cpan[1]> o conf urllist http://www.cpan.org/
Please use 'o conf commit' to make the config permanent!
cpan[2]> o conf commit
commit: wrote '/root/.cpan/CPAN/MyConfig.pm'La dirección IP a la que está apuntando el dominio perl.com ahora tiene un largo historial de uso en campañas de malware más antiguas.
En 2019, la dirección IP 35.186.238.101 estaba vinculada a un dominio que distribuía un ejecutable de malware para el ahora desaparecido ransomware Locky.
Más recientemente, un malware que parece ser un clicker de anuncios está utilizando dicho IP en los siguientes dominios como servidores de comando y control (C2):
www.supernetforme.com
www.superwebbysearch.comPor su seguridad, no visite los dominios listados anteriormente.
Cuando el malware intenta conectarse a las URL en estos dominios, ahora está recibiendo los mismos scripts de dominios estacionados que se utilizan actualmente al visitar perl.com.
Estas respuestas HTML, en lugar de instrucciones de un C2, pueden indicar que la dirección IP está bajo el control de un ciberdelincuente diferente.
Por ahora, se recomienda encarecidamente no visitar perl.com hasta que el dominio vuelva a estar en manos de la Fundación Perl, ya que los atacantes podrían cambiarlo fácilmente a un sitio con fines más maliciosos.
