El secuestro de dominios mediante un ataque de «patos fáciles» sigue siendo un tema poco reconocido en la comunidad de ciberseguridad. Pocos investigadores de amenazas están familiarizados con este vector de ataque y el conocimiento es escaso. Sin embargo, la prevalencia de estos ataques y el riesgo para las organizaciones son significativos.
Los investigadores de Infoblox estiman que más de un millón de dominios registrados podrían ser vulnerables diariamente.
Se encuentran más pruebas de los ataques de patos sentados
Durante un ataque Sitting Ducks, el actor malicioso obtiene el control de un dominio al apoderarse de sus configuraciones DNS. Los cibercriminales han utilizado este vector desde 2018 para secuestrar decenas de miles de nombres de dominio. Los dominios víctimas incluyen marcas conocidas, organizaciones sin fines de lucro y entidades gubernamentales.
Infoblox diseñó una iniciativa de monitoreo luego de que se publicara el documento inicial sobre los ataques de Sitting Ducks en julio de 2024. Los resultados son muy desalentadores, ya que se identificaron 800.000 dominios vulnerables y aproximadamente 70.000 fueron identificados posteriormente como secuestrados.
Las víboras y los halcones que se alimentan de los ataques de los patos fáciles
Vacant Viper es uno de los primeros actores de amenazas conocidos en explotar el ataque Sitting Ducks y ha secuestrado aproximadamente 2500 dominios cada año desde diciembre de 2019. Este actor usa dominios secuestrados para aumentar su sistema de distribución de tráfico malicioso (TDS) llamado 404TDS para ejecutar operaciones de spam maliciosas, entregar pornografía, establecer C2 de troyanos de acceso remoto ( RAT ) y colocar malware como DarkGate y AsyncRAT.
Vacant Viper no secuestra dominios para una conexión de marca específica, sino para recursos de dominio con alta reputación que los proveedores de seguridad no bloquearán. El informe publicado recientemente enumera ejemplos de cadenas de ataque que muestran técnicas de redirección utilizadas por 404TDS y sus afiliados, incluido el modo en que Vacant Viper utiliza dominios secuestrados en 404TDS.
Víbora Vextrio
Este actor ha utilizado dominios secuestrados como parte de su enorme infraestructura TDS desde principios de 2020. Vextrio ejecuta el programa de afiliados cibercriminales más extenso conocido, enrutando el tráfico web comprometido a más de 65 socios afiliados, algunos de los cuales también han robado dominios a través de «patos sentados» para sus actividades maliciosas.
Muchos afiliados utilizan un servicio ruso antibots para filtrar bots e investigadores de seguridad. La funcionalidad de AntiBot incluye la capacidad de establecer reglas para bloquear ciertos servicios o usuarios de bots en función de su geolocalización IP, agente de usuario, etc.
Halcón Horrible y Halcón Precipitado
La denominación de animal Hawks se debe a que los actores de amenazas se lanzan en picado y secuestran dominios vulnerables, de forma muy similar a como los halcones se lanzan en picado para atrapar a sus presas. Infoblox ha nombrado a varios actores nuevos que prosperan en dominios secuestrados.
Horrid Hawk: un actor de amenazas de DNS que ha estado secuestrando dominios y utilizándolos para esquemas de fraude de inversiones desde al menos febrero de 2023. Este actor es interesante porque utiliza dominios secuestrados en cada paso de sus campañas, creando señuelos convincentes que contienen programas de inversión gubernamentales o cumbres inexistentes. Incorporan los dominios secuestrados en anuncios de Facebook de corta duración dirigidos a usuarios en más de 30 idiomas, que abarcan varios continentes.
Hasty Hawk: otro actor de amenazas descubierto durante nuestra investigación sobre los secuestros de «patos fáciles». Desde al menos marzo de 2022, Hasty Hawk ha secuestrado más de 200 dominios para realizar una amplia campaña de phishing que se basa principalmente en páginas de envío de DHL y sitios de donaciones falsos para apoyar a Ucrania.
El actor explota a muchos proveedores, a menudo reconfigurando dominios secuestrados para alojar contenido en IP rusas. Hasty Hawk utiliza anuncios de Google y otros medios, como mensajes de spam, para distribuir contenido malicioso. También utilizan un TDS para dirigir a los usuarios a diferentes páginas web que varían en contenido e idioma según su ubicación geográfica y otras características del usuario. Hasty Hawk cambia algunos de sus dominios entre varios temas de campaña.
Fuente y redacción: helpnetsecurity.com