Pesquisadores de segurança detalharam como a sombra de domínio está se tornando cada vez mais popular para os cibercriminosos.
Conforme relatado pela Bleeping Computer, analistas da Palo Alto Networks (Unidade 42) revelaram como encontraram mais de 12.000 desses incidentes em apenas um período de três meses (abril a junho de 2022).
Uma ramificação do sequestro de DNS, a sombra de domínio fornece a capacidade de criar subdomínios maliciosos infiltrando-se em domínios legítimos. Como tal, os domínios sombreados não terão nenhum impacto no domínio pai, o que naturalmente os torna difíceis de detectar.
Os cibercriminosos podem usar esses subdomínios em seu benefício para várias finalidades, incluindo phishing, distribuição de malware e operações de comando e controle (C2).
“Concluímos com esses resultados que a sombra de domínio é uma ameaça ativa para a empresa e é difícil de detectar sem alavancar algoritmos automatizados de aprendizado de máquina que podem analisar grandes quantidades de logs de DNS”, afirmou a Unidade 42.
Uma vez que o acesso tenha sido obtido por agentes de ameaças, eles podem optar por violar o próprio domínio principal e seus proprietários, bem como usuários-alvo desse site. No entanto, eles tiveram sucesso atraindo indivíduos por meio dos subdomínios, além do fato de os invasores permanecerem indetectados por muito mais tempo confiando nesse método.
Devido à natureza sutil da sombra de domínio, a Unidade 42 mencionou como é difícil detectar incidentes reais e domínios comprometidos.
Na verdade, a plataforma VirusTotal identificou apenas 200 domínios maliciosos dos 12.197 domínios mencionados no relatório. A maioria desses casos está conectada a uma campanha de phishing individual que usa uma rede de 649 domínios ocultos por meio de 16 sites comprometidos.
A campanha de phishing revelou como os subdomínios mencionados exibiam páginas de login falsas ou redirecionavam usuários para páginas de phishing, o que pode essencialmente contornar os filtros de segurança de e-mail.
Quando o subdomínio é visitado por um usuário, as credenciais são solicitadas para uma conta da Microsoft. Mesmo que o URL em si não seja de uma fonte oficial, as ferramentas de segurança da Internet não são capazes de diferenciar entre uma página de login legítima e falsa, pois nenhum aviso é apresentado.
Um dos casos documentados pelo relatório mostrou como uma empresa de treinamento sediada na Austrália confirmou que foi hackeada para seus usuários, mas o dano já foi feito através dos subdomínios. Uma barra de progresso para o processo de reconstrução foi exibida em seu site.
Atualmente, o “modelo de aprendizado de máquina de alta precisão” da Unidade 42 descobriu centenas de domínios sombreados criados diariamente. Com isso em mente, sempre verifique o URL de qualquer site que solicite dados de você, mesmo que o endereço esteja hospedado em um domínio confiável.
Com informações de Digital Trends.