Se ha descubierto que varios actores de amenazas aprovechan una técnica de ataque llamada Sitting Ducks para secuestrar dominios legítimos y utilizarlos en ataques de phishing y esquemas de fraude de inversiones durante años.
El recomendaciones Provienen de Infoblox, que dijo haber identificado cerca de 800.000 dominios registrados vulnerables en los últimos tres meses, de los cuales aproximadamente el 9% (70.000) han sido secuestrados posteriormente.
“Los ciberdelincuentes han utilizado este vector desde 2018 para secuestrar decenas de miles de nombres de dominio”, dijo la empresa de ciberseguridad en un informe detallado compartido con The Hacker News. “Los dominios de las víctimas incluyen marcas conocidas, organizaciones sin fines de lucro y entidades gubernamentales”.
El vector de ataque poco conocido, aunque originalmente documentado por el investigador de seguridad Matthew Bryant allá por 2016, no atrajo mucha atención hasta que se reveló la escala de los secuestros a principios de agosto.
“Creo que hay más conciencia [since then]”, dijo la Dra. Renee Burton, vicepresidenta de inteligencia de amenazas de Infoblox, a The Hacker News. “Aunque no hemos visto disminuir el número de secuestros, hemos visto clientes muy interesados en el tema y agradecidos por la concientización sobre sus propios riesgos potenciales.
El ataque Sitting Ducks, en esencia, permite a un actor malintencionado tomar el control de un dominio aprovechando configuraciones erróneas en su sistema de nombres de dominio (DNS) ajustes. Esto incluye escenarios en los que el DNS apunta al servidor de nombres autorizado incorrecto.
Sin embargo, existen ciertos requisitos previos para lograr esto: un dominio registrado delega servicios DNS autorizados a un proveedor diferente al registrador del dominio, el la delegación es cojay el atacante puede “reclamar” el dominio en el proveedor de DNS y configurar registros DNS sin acceso a la cuenta válida del propietario en el registrador de dominios.
Sitting Ducks es fácil de ejecutar y sigiloso, en parte impulsado por la reputación positiva que tienen muchos de los dominios secuestrados. Algunos de los dominios que han sido víctimas de los ataques incluyen una empresa de entretenimiento, un proveedor de servicios de IPTV, un bufete de abogados, un proveedor de productos ortopédicos y cosméticos, una tienda tailandesa de ropa en línea y una empresa de venta de neumáticos.
Los actores de amenazas que secuestran dichos dominios aprovechan la reposición de la marca y el hecho de que es poco probable que las herramientas de seguridad los marquen como maliciosos para lograr sus objetivos estratégicos.
“Es difícil de detectar porque si el dominio ha sido secuestrado, entonces no es tonto”, explicó Burton. “Sin ningún otro signo, como una página de phishing o un malware, la única señal es un cambio de dirección IP”.
“El número de dominios es tan grande que los intentos de utilizar cambios de IP para indicar actividad maliciosa darían lugar a muchos falsos positivos. ‘Volvemos’ a rastrear a los actores de amenazas que están secuestrando dominios entendiendo primero cómo operan individualmente y luego rastrear ese comportamiento.”
Un aspecto importante que es común a los ataques de patos sentados es el secuestro rotacional, donde diferentes actores de amenazas se apoderan repetidamente de un dominio a lo largo del tiempo.
“Los actores de amenazas a menudo utilizan proveedores de servicios explotables que ofrecen cuentas gratuitas como DNS Made Easy como bibliotecas de préstamo, generalmente secuestrando dominios durante 30 a 60 días; sin embargo, también hemos visto otros casos en los que los actores mantienen el dominio durante un largo período de tiempo. “, señaló Infoblox.
“Después de que expira la cuenta gratuita a corto plazo, el primer actor de amenaza ‘pierde’ el dominio y luego otro actor de amenaza lo estaciona o lo reclama”.
Algunos de los principales actores de amenazas DNS que se han encontrado “aprovechando” los ataques de patos sentados se enumeran a continuación:
- Vacant Viper, que lo ha utilizado para operar el 404 TDS, además de ejecutar operaciones de spam malicioso, entregar pornografía, establecer comando y control (C2) y eliminar malware como DarkGate y AsyncRAT (en curso desde diciembre de 2019)
- Horrid Hawk, que lo ha utilizado para llevar a cabo esquemas de fraude de inversiones mediante la distribución de los dominios secuestrados a través de anuncios de Facebook de corta duración (en curso desde al menos febrero de 2023)
- Hasty Hawk, que lo ha utilizado para llevar a cabo campañas de phishing generalizadas que imitan principalmente las páginas de envío de DHL y sitios de donación falsos que imitan a supportukrainenow.[.]org y afirma apoyar a Ucrania (en curso desde al menos marzo de 2022)
- VexTrio Viper, que solía operar su TDS (en curso desde principios de 2020)
Infoblox dijo que varios afiliados de VexTrio Viper, como GoRefresh, también han participado en ataques Sitting Ducks para realizar campañas farmacéuticas falsas en línea, así como estafas de juegos de azar y citas.
“Tenemos algunos actores que parecen utilizar los dominios para el malware C2 en el que la exfiltración se envía a través de servicios de correo”, dijo Burton. “Mientras otros los utilizan para distribuir spam, estos actores configuran sus DNS sólo para recibir correo”.
Esto indica que los malos actores están aprovechando los dominios incautados por un amplio espectro de razones, poniendo así tanto a las empresas como a los individuos en riesgo de sufrir malware, robo de credenciales y fraude.
“Hemos encontrado varios actores que han secuestrado dominios y los han retenido durante largos períodos de tiempo, pero no hemos podido determinar el propósito del secuestro”, concluyó Infoblox. “Estos dominios tienden a tener una gran reputación y normalmente no son notados por los proveedores de seguridad, creando un entorno donde actores inteligentes pueden entregar malware, cometer fraude desenfrenado y phishing de credenciales de usuarios sin consecuencias”.