O sequestro de domínios via ataques conhecidos como Sitting Ducks tem ganhado relevância na cibersegurança. Apesar de pouco abordado, esse vetor de ataque representa um risco significativo para organizações de todos os setores. Pesquisadores da Infoblox Threat Intel identificaram novos agentes maliciosos que utilizam essa técnica para fortalecer campanhas cibercriminosas. Segundo a empresa, mais de 1 milhão de domínios podem estar vulneráveis diariamente.
“Desde 2018, hackers têm usado essa abordagem para sequestrar dezenas de milhares de nomes de domínio, incluindo marcas conhecidas, organizações sem fins lucrativos e entidades governamentais”, destacou o relatório.
800 mil domínios vulneráveis monitorados
Após um estudo inicial publicado em julho de 2024, a Infoblox iniciou uma ampla iniciativa de monitoramento. Os resultados são alarmantes: foram identificados 800 mil domínios vulneráveis, dos quais cerca de 70 mil já haviam sido sequestrados. Esse controle sobre as configurações de DNS permite aos criminosos redirecionar tráfego, disseminar malware e operar campanhas fraudulentas.
Principais agentes maliciosos identificados
Vacant Viper
Entre os primeiros a explorar os ataques Sitting Ducks, o Vacant Viper sequestra cerca de 2.500 domínios por ano desde 2019. Esses domínios são usados em sistemas de distribuição de tráfego (TDS), permitindo a execução de spam, distribuição de malware como DarkGate e AsyncRAT e operações de comando e controle (C2). “Eles preferem domínios de alta reputação, menos propensos a bloqueios por fornecedores de segurança”, afirmou o relatório.
Vextrio Viper
Desde 2020, o Vextrio utiliza domínios sequestrados para sua infraestrutura TDS, redirecionando tráfego comprometido para mais de 65 afiliados. Esses parceiros, por sua vez, exploram os domínios para atividades ilícitas. O grupo também utiliza um serviço antibot russo para evitar detecção por pesquisadores de segurança.
Novos atores: Horrid Hawk e Hasty Hawk
Dois novos agentes, apelidados de Hawks, destacam-se pela sofisticação de suas táticas:
- Horrid Hawk: Desde fevereiro de 2023, esse grupo utiliza domínios sequestrados em campanhas fraudulentas de investimentos, promovendo eventos fictícios em mais de 30 idiomas.
- Hasty Hawk: Atuando desde março de 2022, o Hasty Hawk sequestrou mais de 200 domínios, principalmente para campanhas de phishing, imitando empresas como DHL e organizando falsos sites de doações para a Ucrânia. Ele usa anúncios e mensagens de spam para alcançar vítimas e redirecioná-las com base em características específicas, como localização geográfica.
O relatório completo da Infoblox oferece detalhes adicionais sobre as técnicas empregadas e medidas de proteção para organizações.
