O sequestro de domínios usando o ataque "Sitting Ducks" continua sendo um tema pouco abordado na comunidade de cibersegurança. Poucos pesquisadores de ameaças estão familiarizados com esse vetor de ataque, e o conhecimento sobre ele é escasso. No entanto, a prevalência dessas ameaças e o risco para as organizações são significativos.
Após sua publicação inicial sobre o Sitting Ducks, a Infoblox Threat Intel se aprofundou nesse tema. O resultado é um novo e revelador relatório que estima que mais de 1 milhão de domínios registrados podem estar vulneráveis, diariamente. O relatório também explora o uso disseminado desse ataque e como vários agentes o utilizam para fortalecer suas campanhas maliciosas.
Mais evidências encontradas sobre ataques Sitting Ducks
Durante um ataque Sitting Ducks, o hacker obtém controle total do domínio ao assumir suas configurações de DNS. Os cibercriminosos usam esse vetor desde 2018 para sequestrar dezenas de milhares de nomes de domínio. Os domínios das vítimas incluem marcas conhecidas, organizações sem fins lucrativos e entidades governamentais.
A Infoblox Threat Intel criou uma iniciativa de monitoramento depois que o artigo inicial sobre ataques de Sitting Ducks foi publicado em julho de 2024. Os resultados são muito preocupantes: foram identificados 800 mil domínios vulneráveis e cerca de 70 mil deles foram posteriormente identificados como sequestrados.
Vipers e Hawks se aproveitando dos ataques Sitting Ducks
Vacant Viper
O Vacant Viper é um dos primeiros agentes maliciosos conhecidos a explorar o ataque Sitting Ducks, tendo sequestrado cerca de 2.500 domínios por ano, desde dezembro de 2019. Esse agente usa domínios sequestrados para ampliar o seu TDS (Traffic Distribution System) chamado 404TDS, com o objetivo de executar operações de spam malicioso, distribuir conteúdo pornográfico, estabelecer comandos e controles (C2s) para trojans de acesso remoto (RATs) e disseminar malwares como DarkGate e AsyncRAT.
O Vacant Viper não sequestra domínios com conexão a marcas específicas, mas busca recursos de domínios com alta reputação, que não serão bloqueados por fornecedores de segurança. O relatório recém-publicado lista exemplos de cadeias de ataque, mostrando técnicas de redirecionamento usadas tanto pelo 404TDS quanto por seus afiliados, incluindo como Vacant Viper utiliza domínios sequestrados no 404TDS.
Vextrio Viper
Esse agente utiliza domínios sequestrados como parte de sua massiva infraestrutura TDS desde o início de 2020. O Vextrio administra o maior programa de afiliados cibercriminosos conhecido, redirecionando o tráfego web comprometido para mais de 65 parceiros afiliados, alguns dos quais também roubaram domínios via Sitting Ducks para suas próprias atividades maliciosas. Muitos desses afiliados usam um serviço antibot russo como método para filtrar bots e pesquisadores de segurança. A funcionalidade do AntiBot inclui a capacidade de definir regras para bloquear determinados serviços de bot ou usuários com base em geolocalização de IP, agente de usuário, entre outros critérios.
Novos atores Horrid Hawk e Hasty Hawk
A designação animal de Hawks (Falcões, em português) foi dada porque os atores da ameaça atacam e sequestram domínios vulneráveis, assim como os falcões mergulham para capturar suas presas. A Infoblox identificou e nomeou vários novos agentes que prosperam ao explorar domínios sequestrados.
Horrid Hawk: Um agente de ameaça de DNS que tem sequestrado domínios e os utilizado em esquemas de fraude de investimento desde, pelo menos, fevereiro de 2023. Esse agente se destaca por usar domínios sequestrados em todas as etapas de suas campanhas, criando iscas convincentes que promovem programas de investimento governamentais ou cúpulas inexistentes. Eles inserem os domínios sequestrados em anúncios temporários no Facebook, direcionados a usuários em mais de 30 idiomas e abrangendo vários continentes.
Hasty Hawk: Outro atacante descoberto durante nossa pesquisa sobre os sequestros Sitting Ducks. Desde, pelo menos, março de 2022, o Hasty Hawk já sequestrou mais de 200 domínios para operar campanhas de phishing em larga escala, principalmente imitando páginas de envio da DHL e sites falsos de doações para apoio à Ucrânia. Esse agente explora diversos provedores, frequentemente reconfigurando domínios sequestrados para hospedar conteúdo em IPs russos. Hasty Hawk utiliza anúncios do Google e outros meios, como mensagens de spam, para distribuir conteúdo malicioso. Ele também emprega um TDS para redirecionar usuários a diferentes páginas da web, que variam em conteúdo e idioma, de acordo com a geolocalização e outras características do usuário. O Hasty Hawk alterna alguns de seus domínios entre diferentes temas de campanha.
O relatório completo pode ser encontrado aqui:
