A industrialização da criação de domínios maliciosos

Pesquisadores analisaram mais de 1,5 milhão de domínios maliciosos detectados via VirusTotal de janeiro a maio de 2026 e concluíram que seu registro se assemelha cada vez mais a um processo industrial. Apenas cerca de 10% dos domínios foram sinalizados como maliciosos após sites legítimos serem comprometidos — o resto foi registrado propositalmente por atacantes.

A conclusão de que o registro de domínios maliciosos se tornou um processo altamente simplificado é apoiada pelos seguintes padrões observados:

🔴 Geralmente há muito pouco tempo entre o registro do domínio e a detecção — a lacuna é mínima: quase um terço dos novos domínios foi identificado como malicioso dentro de uma semana após o registro, alguns sendo sinalizados no próprio dia em que foram registrados.

🔴 A maior parte da infraestrutura está concentrada entre um pequeno número de registradores e zonas de domínio. O TLD .com lidera, seguido por .top, .cc e .xyz. Os 10 principais TLDs respondem por dois terços de todos os domínios maliciosos.

🔴 Oito em cada dez endereços IP que hospedam domínios controlados por atacantes pertencem à Cloudflare; os dois maiores sozinhos lidaram com mais de 230.000 domínios cada. Esses IPs correspondem a proxies reversos através dos quais o tráfego de numerosos sites passa — como anteriormente discutido, os atacantes exploram essa configuração para evitar o bloqueio de seus recursos.

Os pesquisadores também agruparam domínios maliciosos por registrador e data de criação. Quando cinco ou mais domínios correspondiam nessas características, eles eram tratados como um único lote. Mais de 75% dos domínios analisados se enquadram nesses lotes: o maior lote incluía 2.000 domínios registrados no mesmo dia com um registrador.