El secuestro de dominios mediante ataques ” Sitting Ducks” sigue siendo un tema poco divulgado en la comunidad de ciberseguridad. Pocos investigadores de amenazas están familiarizados con este vector de ataque y el conocimiento es escaso. Sin embargo, la prevalencia de estos ataques y el riesgo para las organizaciones son significativos.

Después de su publicación inicial sobre Sitting Ducks, Infoblox Threat Intel profundizó en este tema. El resultado es un nuevo y revelador informe que estima que más de 1 millón de dominios registrados podrían ser vulnerables diariamente. El informe también explora el uso generalizado del ataque y cómo múltiples actores lo aprovechan para fortalecer sus campañas maliciosas.

Más evidencia encontrada sobre ataques Sitting Ducks

Durante un ataque Sitting Ducks, el actor malicioso obtiene el control total del dominio aprovechando configuraciones de DNS incorrectas. Los cibercriminales han utilizado este vector desde 2018 para secuestrar decenas de miles de nombres de dominio. Los dominios de las víctimas incluyen marcas conocidas, entidades gubernamentales y sin ánimo de lucro. Los resultados son preocupantes, ya que se identificaron 800.000 dominios vulnerables y aproximadamente 70.000 de ellos fueron identificados posteriormente como secuestrados.

Actores DNS maliciosos que utilizan ataques “Sitting Ducks”

Vacant Viper

Vacant Viper es uno de los primeros actores de amenazas conocidos en explotar este vector de ataque y ha secuestrado aproximadamente 2.500 dominios cada año desde diciembre de 2019. Este actor usa dominios secuestrados para aumentar su sistema de distribución de tráfico malicioso (TDS), llamado 404TDS, con la intención de ejecutar operaciones de spammaliciosas, distribuir pornografía, troyanos de acceso remoto (RAT) para ataques C2 y lanzar malware como DarkGate y AsyncRAT.

Vacant Viper no secuestra dominios de marca específica, sino para un conjunto de recursos de dominio que al tener una alta reputación no serán bloqueados por los proveedores de seguridad. El informe publicado recientemente enumera ejemplos de cadenas de ataque que muestran técnicas de redirección utilizadas tanto por el 404TDS como por sus afiliados, incluido cómo Vacant Viper usa dominios secuestrados en el 404TDS.

Vextrio Viper

Este actor ha utilizado dominios secuestrados como parte de su enorme infraestructura TDS desde principios de 2020. Vextrio ejecuta el programa de afiliados cibercriminales más grande conocido, enrutando el tráfico web comprometido a más de 65 socios afiliados, algunos de los cuales también han robado dominios mediante este sistema para sus propias actividades maliciosas. Muchos de estos afiliados utilizan un servicio antibot ruso como método para burlar bots e investigadores de seguridad. La funcionalidad de AntiBot incluye la capacidad de establecer reglas para bloquear ciertos servicios de bots o usuarios en función de su geolocalización de IP, agente de usuario, etc.

Horrid Hawk y Hasty Hawk

La designación de animal Hawks se le dio porque los actores de amenazas buscan y secuestran dominios vulnerables, de manera muy similar a como los halcones se lanzan en picado para atrapar a sus presas. Infoblox ha nombrado a varios actores nuevos que prosperan con dominios secuestrados.

• Horrid Hawk: un actor de amenazas de DNS que ha estado secuestrando dominios y usándolos para campañas de fraude de inversiones desde al menos febrero de 2023. Este actor es interesante porque usa dominios secuestrados en cada paso de sus campañas, elaborando señuelos creíbles para productos financieros de entidades públicas. Publicitan los dominios secuestrados en anuncios de Facebook de corta duración dirigidos a usuarios en más de 30 idiomas, que abarcan varios continentes.
• Hasty Hawk: otro actor de amenazas descubierto durante esta investigación, que desde al menos marzo de 2022, ha secuestrado más de 200 dominios para operar campañas de phishing generalizadas que principalmente falsifican páginas de envío de DHL y sitios fraudulentos de donaciones de apoyo a Ucrania. El actor explota muchos proveedores, a menudo reconfigurando los dominios secuestrados para alojar contenido en IP rusas. HastyHawk utiliza anuncios de Google y otros medios, como mensajes de spam, para distribuir contenido malicioso. También utilizan un TDS para dirigir a los usuarios a diferentes páginas web que varían en contenido e idioma según su geolocalización y otras características del usuario. “Hasty Hawk intercambia sus dominios a lo largo de cada campaña”.