Mais de um milhão de domínios estão suscetíveis a serem sequestrados por atores maliciosos através de uma técnica conhecida como ataque “Sitting Ducks”.
Este poderoso vetor de ataque, que explora fraquezas no sistema de nomes de domínio (DNS), está a ser utilizado por mais de uma dúzia de atores cibercriminosos com ligação à Rússia para sequestrar domínios de forma furtiva, revelou uma análise conjunta publicada pela Infoblox e pela Eclypsium.
“Num ataque Sitting Ducks, o ator sequestra um domínio atualmente registado num serviço DNS autoritativo ou num fornecedor de alojamento web sem aceder à conta do verdadeiro proprietário, seja no fornecedor de DNS ou no registrador”, disseram os investigadores.
“O Sitting Ducks é mais fácil de realizar, mais provável de sucesso e mais difícil de detectar do que outros vetores de ataque de sequestro de domínios amplamente divulgados, como CNAMEs pendentes.”
Uma vez que um domínio é tomado pelo ator da ameaça, ele pode ser utilizado para todos os tipos de atividades nefastas, incluindo servir malware e realizar spams, ao mesmo tempo que abusa da confiança associada ao proprietário legítimo.
Os detalhes da técnica de ataque “perniciosa” foram documentados pela primeira vez pelo The Hacker Blog em 2016, embora ainda permaneça amplamente desconhecida e não resolvida até hoje. Estima-se que mais de 35.000 domínios tenham sido sequestrados desde 2018.
“É um mistério para nós”, disse a Dra. Renee Burton, vice-presidente de inteligência de ameaças na Infoblox, ao The Hacker News. “Recebemos frequentemente perguntas de clientes potenciais sobre ataques CNAME pendentes, que também são um sequestro de registos esquecidos, mas nunca recebemos uma pergunta sobre um sequestro Sitting Ducks.”
O problema reside na configuração incorreta no registrador de domínios e na verificação inadequada de propriedade no fornecedor de DNS autoritativo, juntamente com o facto de o servidor de nomes não conseguir responder de forma autoritativa por um domínio que está listado para servir (ou seja, delegação incorreta).
Também é necessário que o fornecedor de DNS autoritativo seja explorável, permitindo ao atacante reivindicar a propriedade do domínio no fornecedor de DNS autoritativo delegado sem ter acesso à conta do proprietário válido no registrador de domínios.
Neste cenário, se o serviço DNS autoritativo para o domínio expirar, o ator da ameaça poderá criar uma conta com o fornecedor e reivindicar a propriedade do domínio, acabando por se passar pela marca por trás do domínio para distribuir malware.
“Existem muitas variações [de Sitting Ducks], incluindo quando um domínio foi registado, delegado, mas não configurado no fornecedor”, disse Burton.
O ataque Sitting Ducks foi armadilhado por diferentes atores de ameaças ao longo dos anos, com os domínios roubados a serem usados para alimentar múltiplos sistemas de distribuição de tráfego (TDS), como o 404 TDS (também conhecido como Vacant Viper) e o VexTrio Viper. Também foi utilizado para propagar boatos de ameaças de bomba e esquemas de sextorsão, um grupo de atividades rastreado como Spammy Bear.
“As organizações devem verificar os domínios que possuem para ver se algum está em estado de delegação incorreta e devem usar fornecedores de DNS que ofereçam proteção contra os ataques Sitting Ducks”, disse Burton.