Identificados nuevos actores DNS maliciosos vinculados al secuestro de dominios
Se estima que más de un millón de dominios registrados podrían ser vulnerables diariamente.
Infoblox Threat Intel, la unidad de inteligencia de seguridad de Infoblox, ha identificado nuevos actores DNS maliciosos vinculados al secuestro de dominios. El secuestro de dominios mediante ataques " Sitting Ducks" sigue siendo un tema poco divulgado en la comunidad de ciberseguridad. Pocos investigadores de amenazas están familiarizados con este vector de ataque y el conocimiento es escaso. Sin embargo, la prevalencia de estos ataques y el riesgo para las organizaciones son significativos.
Después de su publicación inicial sobre Sitting Ducks, Infoblox Threat Intel profundizó en este tema. El resultado es un nuevo y revelador informe que estima que más de 1 millón de dominios registrados podrían ser vulnerables diariamente. El informe también explora el uso generalizado del ataque y cómo múltiples actores lo aprovechan para fortalecer sus campañas maliciosas.
Más evidencia encontrada sobre ataques Sitting Ducks
Durante un ataque Sitting Ducks, el actor malicioso obtiene el control total del dominio aprovechando configuraciones de DNS incorrectas. Los cibercriminales han utilizado este vector desde 2018 para secuestrar decenas de miles de nombres de dominio. Los dominios de las víctimas incluyen marcas conocidas, entidades gubernamentales y sin ánimo de lucro. Los resultados son preocupantes, ya que se identificaron 800.000 dominios vulnerables y aproximadamente 70.000 de ellos fueron identificados posteriormente como secuestrados.
Horrid Hawk y Hasty Hawk: dos actores DNS maliciosos que utilizan ataques “Sitting Ducks”
La designación de animal Hawks se le dio porque los actores de amenazas buscan y secuestran dominios vulnerables, de manera muy similar a como los halcones se lanzan en picado para atrapar a sus presas. Infoblox ha nombrado a varios actores nuevos que prosperan con dominios secuestrados.
• Horrid Hawk: un actor de amenazas de DNS que ha estado secuestrando dominios y usándolos para campañas de fraude de inversiones desde al menos febrero de 2023. Este actor es interesante porque usa dominios secuestrados en cada paso de sus campañas, elaborando señuelos creíbles para productos financieros de entidades públicas. Publicitan los dominios secuestrados en anuncios de Facebook de corta duración dirigidos a usuarios en más de 30 idiomas, que abarcan varios continentes.
• Hasty Hawk: otro actor de amenazas descubierto durante esta investigación, que desde al menos marzo de 2022, ha secuestrado más de 200 dominios para operar campañas de phishing generalizadas que principalmente falsifican páginas de envío de DHL y sitios fraudulentos de donaciones de apoyo a Ucrania. El actor explota muchos proveedores, a menudo reconfigurando los dominios secuestrados para alojar contenido en IP rusas. Hasty Hawk utiliza anuncios de Google y otros medios, como mensajes de spam, para distribuir contenido malicioso. También utilizan un TDS para dirigir a los usuarios a diferentes páginas web que varían en contenido e idioma según su geolocalización y otras características del usuario. Hasty Hawk intercambia sus dominios a lo largo de cada campaña.
