- Os registros DNS desatualizados criam aberturas invisíveis para criminosos espalhar malware por meio de sites legítimos
- O Hazy Hawk transforma links de nuvem de configuração equivocada em armadilhas de redirecionamento silencioso para fraude e infecção
- As vítimas acham que estão visitando um site real, até que pop -ups e malware assumem
Uma nova ameaça on -line preocupante está surgindo na qual criminosos sequestram subdomínios das principais organizações, como Bose, Panasonice até o CDC dos EUA (Centros de Controle e Prevenção de Doenças), para se espalhar malware e perpetrar os golpes online.
Como sinalizado por especialistas em segurança InfoBloxno centro desta campanha, há um grupo de ameaças conhecido como Hazy Hawk, que adotou uma abordagem relativamente silenciosa, mas altamente eficaz, para comprometer a confiança do usuário e armar -a contra visitantes inocentes.
Esses seqüestros de subdomínio não são o resultado de hackers diretos, mas de explorar vulnerabilidades de infraestrutura negligenciadas.
Uma exploração enraizada na supervisão administrativa
Em vez de violar as redes por força bruta ou phishing, o Night Hawk explora os recursos de nuvem abandonados vinculados a DNS CNAME Records.
Esses chamados registros “pendentes” ocorrem quando uma organização descomissiona um serviço em nuvem, mas esquece de atualizar ou excluir a entrada do DNS apontando para ele, deixando o subdomínio vulnerável.
Por exemplo, um subdomínio esquecido como algo.bose.com ainda pode apontar para um recurso do Azure ou AWS não utilizado e, se o Hazy Hawk registrar a instância de nuvem correspondente, o atacante controla de repente um subdomínio de Bose, de aparência legítima.
Esse método é perigoso porque as configurações incorretas geralmente não são sinalizadas pelos sistemas de segurança convencionais.
Os subdomínios reaproveitados tornam -se plataformas para fornecer golpes, incluindo falsidade antivírus Avisos, contras de suporte técnico e malware disfarçados de atualizações de software.
O Hazy Hawk não para apenas no seqüestro – o grupo usa sistemas de distribuição de tráfego (TDSS) para redirecionar usuários de subdomínios seqüestrados a destinos maliciosos.
Esses TDSs, como ViralClipNow.xyz, avaliam o tipo de dispositivo, localização e comportamento de navegação de um usuário para servir golpes sob medida.
Freqüentemente, o redirecionamento começa com domínios aparentemente inócuos de desenvolvedor ou blog, como o share.js.org, antes de embaralhar os usuários através de uma rede de engano.
Depois que os usuários aceitam notificações push, eles continuam recebendo mensagens fraudulentas muito após a infecção inicial, estabelecendo um vetor duradouro para fraude.
O Fallout A partir dessas campanhas, é mais do que teórico e afetou organizações e empresas de alto nível como CDC, Panasonic e Deloitte.
Os indivíduos podem se proteger contra essas ameaças, recusando solicitações de notificação de push de sites desconhecidos e exercendo cautela com links que parecem bons demais para serem verdadeiros.
Para as organizações, a ênfase deve estar na higiene DNS. Deixar de remover as entradas do DNS para serviços de nuvem desativado deixa subdomínios vulneráveis à aquisição.
As ferramentas automatizadas de monitoramento de DNS, especialmente as integradas à inteligência de ameaças, podem ajudar a detectar sinais de compromisso.
As equipes de segurança devem tratar essas configurações incorretas como vulnerabilidades críticas, não pequenas supervisões.