Especialistas de F6 (anteriormente F.A.C.C.T., y también Group-IB en Rusia) registraron una nueva ola de ataques fraudulentos contra propietarios de nombres de dominio cuyo período de registro está por vencer. Los delincuentes, en nombre del registrador, envían correos electrónicos sobre la necesidad de pagar los servicios y un enlace para pagar a través de un sistema de pago popular.
Según informó F6, el ataque se dirige a clientes de uno de los registradores rusos más populares. Los delincuentes utilizan los servicios de Whois para obtener información sobre los dominios cuyo período de registro vence en breve.
En fuentes abiertas, los estafadores encuentran contactos para comunicarse con los administradores de nombres de dominio y, en nombre del registrador real, envían un correo electrónico sobre la necesidad de pagar los servicios para extender el registro del nombre de dominio. El correo electrónico contiene un código QR para el pago rápido de servicios por un monto de 2190 rublos a través de un sistema de pago popular. Sin embargo, el pago no se destina al registrador, sino como una transferencia al número de teléfono móvil.
Para la nueva ola de ataques, los estafadores, entre marzo y julio de 2025, registraron al menos 6 dominios en las zonas .ru, .online y .org, que contienen la marca del registrador en varias combinaciones con las palabras «payments», «domainpay», «paydomain» y «payonlinehost». Al mismo tiempo, los delincuentes enmascaran sus recursos: el enlace de pago solo está disponible en una página específica, y cuando se intenta ir a la página principal del recurso de phishing, se redirige al sitio web oficial del registrador. F6 destacó:
Potencialmente, cientos de miles de propietarios de sitios web podrían estar entre los destinatarios de dichos correos electrónicos de phishing. Según los datos del servicio de estadísticas, solo en la zona .ru se renuevan diariamente un promedio de más de 15 mil dominios.
