01 de agosto de 2024Ravie LakshmananVulnerabilidad / Inteligencia de amenazas Más de un millón de dominios son susceptibles de ser tomados por actores maliciosos mediante lo que se ha denominado un ataque Sitting Ducks. El poderoso vector de ataque, que explota las debilidades en el sistema de nombres de dominio (DNS), está siendo explotado por más de una docena de actores cibercriminales con vínculos rusos para secuestrar dominios de forma sigilosa, según ha revelado un análisis conjunto publicado por Infoblox y Eclypsium. «En un ataque Sitting Ducks, el actor secuestra un dominio actualmente registrado en un servicio DNS autorizado o un proveedor de alojamiento web sin acceder a la cuenta del verdadero propietario ni en el proveedor de DNS ni en el registrador», dijeron los investigadores. «Sitting Ducks es más fácil de realizar, tiene más probabilidades de tener éxito y es más difícil de detectar que otros vectores de ataque de secuestro de dominios muy publicitados, como los CNAME colgantes». Una vez que un actor de amenazas se apropia de un dominio, este puede usarse para todo tipo de actividades nefastas, como distribuir malware y enviar spam, mientras se abusa de la confianza asociada con el propietario legítimo. Los detalles de la técnica de ataque «perniciosa» fueron documentados por primera vez por The Hacker Blog en 2016, aunque sigue siendo en gran parte desconocida y sin resolver hasta la fecha. Se estima que más de 35.000 dominios han sido secuestrados desde 2018. «Es un misterio para nosotros», dijo a The Hacker News la Dra. Renee Burton, vicepresidenta de inteligencia de amenazas en Infoblox. «Con frecuencia recibimos preguntas de posibles clientes, por ejemplo, sobre ataques CNAME pendientes que también son un secuestro de registros olvidados, pero nunca hemos recibido una pregunta sobre un secuestro de Sitting Ducks». El problema es la configuración incorrecta en el registrador de dominios y el proveedor de DNS autorizado, junto con el hecho de que el servidor de nombres no puede responder con autoridad para un dominio al que está listado para servir (es decir, delegación poco convincente). También requiere que el proveedor de DNS autorizado sea explotable, lo que permite al atacante reclamar la propiedad del dominio en el proveedor de DNS autorizado delegado sin tener acceso a la cuenta válida del propietario en el registrador de dominios. En tal escenario, si el servicio de DNS autorizado para el dominio expira, el actor de la amenaza podría crear una cuenta con el proveedor y reclamar la propiedad del dominio, en última instancia, suplantando la marca detrás del dominio para distribuir malware. «Hay muchas variaciones [of Sitting Ducks]»Incluso cuando un dominio ha sido registrado, delegado, pero no configurado en el proveedor», dijo Burton. El ataque Sitting Ducks ha sido utilizado como arma por diferentes actores de amenazas, con los dominios robados utilizados para alimentar múltiples sistemas de distribución de tráfico (TDS) como 404 TDS (también conocido como Vacant Viper) y VexTrio Viper. También se ha aprovechado para propagar engaños de amenazas de bomba y estafas de sextorsión. «Las organizaciones deben verificar los dominios que poseen para ver si alguno es deficiente y deben utilizar proveedores de DNS que tengan protección contra Sitting Ducks», dijo Burton. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.