La configuración incorrecta de DNS da alas al secuestro de dominios

  • Actualidad
dominio

Más un millón de dominios podrían ser vulnerables diariamente por la vulnerabilidad de su configuración de DNS. Cerca de 70.000 dominios ya han sido identificados como secuestrados por este motivo, según un informe publicado por Infoblox.

El estudio DNS predators attack: vipers ands Hawks hijack Sitting Ducks domains, elaborado por Infoblox Threat Intel, ofrece un detallado informe del secuestro de dominios con ataques de “Sitting Ducks” (en inglés, una expresión que significa que algo es fácil de atacar). La investigación se centra en particular en los actores maliciosos Vacant Viper, Vextrio Viper,  Horrid Hawk y Hasty Hawk.

Una incorrecta configuración de las DNS puede provocar que los dominios sean vulnerables, lo que aprovechan los “depredadores” para secuestrarlos. Los ataques de Sitting Ducks permiten tomar el control del dominio. Entre los secuestrados en los últimos años hay marcas conocidas, entidades gubernamentales y ONG, lo que permite lanzar todo tipo de ataques desde dominios en teoría confiables.

Principales actores de DNS maliciosas

El actor más activo ha sido Vacant Viper que ha secuestrado cerca de 2.500 dominios desde diciembre de 2019. Según Infoblox, los utiliza para “aumentar su sistema de distribución de tráfico malicioso (TDS), llamado 404TDS, con la intención de ejecutar operaciones de spam maliciosas, distribuir pornografía, troyanos de acceso remoto (RAT) para ataques C2 y lanzar malware como DarkGate y AsyncRAT”.

Vextrio Viper, activo desde inicios de 2020, cuenta con más de 65 socios afiliados, que a menudo utilizan un antibot ruso para esquivar los bots y a los investigadores de seguridad. Hasty Hawk empezó a funcional a inicios de 2023 y desde entonces ha secuestrado más de 200 dominios y los ha utilizado en campañas de phishing, por ejemplo con páginas falsas de envíos de DHL o sitios fraudulentos de donaciones de apoyo a Ucrania.

Horrid Hawk opera al menos desde febrero de 2023 y se especializa en fraude de inversiones, publicitando sus dominios secuestrados en Facebook y dirigiéndose a sus víctimas en más de 30 idiomas diferentes. Según el informe de Infoblox, llama la atención porque utiliza dominios secuestrados para cada uno de los pasos de sus campañas de fraude.