Mais de um milhão de domínios estão suscetíveis à invasão por agentes mal-intencionados por meio do que é chamado de ataque Sitting Ducks .
O poderoso vetor de ataque, que explora fraquezas no sistema de nomes de domínio (DNS), está sendo explorado por mais de uma dúzia de criminosos cibernéticos da Rússia para sequestrar domínios furtivamente, revelou uma análise conjunta publicada pela Infoblox e Eclypsium .
Sitting Ducks – Domínios
“Em um ataque Sitting Ducks, o agente sequestra um domínio atualmente registrado em um serviço DNS autorizado ou provedor de hospedagem web sem acessar a conta do verdadeiro proprietário no provedor DNS ou no registrador”, disseram os pesquisadores.
“O Sitting Ducks é mais fácil de executar, tem mais probabilidade de ter sucesso e é mais difícil de detectar do que outros vetores de ataque de sequestro de domínio amplamente divulgados, como CNAMEs pendentes .”
Depois que um domínio é assumido pelo agente da ameaça, ele pode ser usado para todos os tipos de atividades nefastas, incluindo distribuição de malware e realização de spam, além de abusar da confiança associada ao proprietário legítimo.
Detalhes da técnica de ataque “perniciosa” foram documentados pela primeira vez pelo The Hacker Blog em 2016, embora permaneçam amplamente desconhecidos e não resolvidos até o momento. Estima-se que mais de 35.000 domínios tenham sido sequestrados desde 2018.
“É um mistério para nós”, disse a Dra. Renee Burton, vice-presidente de inteligência de ameaças da Infoblox, ao The Hacker News. “Frequentemente recebemos perguntas de clientes em potencial, por exemplo, sobre ataques CNAME pendentes que também são um sequestro de registros esquecidos, mas nunca recebemos uma pergunta sobre um sequestro Sitting Ducks.”
O problema é a configuração incorreta no registrador de domínio e no provedor de DNS autoritativo, juntamente com o fato de que o servidor de nomes não consegue responder autoritativamente para um domínio que ele está listado para servir (ou seja, delegação incompleta ).
Ele também exige que o provedor DNS autoritativo seja explorável, permitindo que o invasor reivindique a propriedade do domínio no provedor DNS autoritativo delegado sem ter acesso à conta válida do proprietário no registrador de domínio.
Nesse cenário, caso o serviço DNS autoritativo do domínio expire, o agente da ameaça poderá criar uma conta com o provedor e reivindicar a propriedade do domínio, personificando a marca por trás do domínio para distribuir malware.
“Existem muitas variações [de Sitting Ducks], incluindo quando um domínio foi registrado, delegado, mas não configurado no provedor”, disse Burton.
O ataque Sitting Ducks foi transformado em arma por diferentes atores de ameaças, com os domínios roubados usados para alimentar vários sistemas de distribuição de tráfego (TDSes), como 404 TDS (também conhecido como Vacant Viper) e VexTrio Viper . Ele também foi alavancado para propagar fraudes de ameaças de bomba e golpes de sextorsão.
“As organizações devem verificar os domínios que possuem para ver se algum é inválido e devem usar provedores de DNS que tenham proteção contra alvos fáceis”, disse Burton.
Fontes: The Hacker News
+Mais
Operadores do Black Basta Ransomware usam o Microsoft Teams para invadir organizações
Pesquisadores descobrem vulnerabilidade de downgrade de sistema operacional que tem como alvo o kernel do Microsoft Windows
Grupo Lazarus explora vulnerabilidade do Google Chrome para controlar dispositivos infectados