Οι αναλυτές απειλών της Palo Alto Networks (Unit 42) ανακάλυψαν ότι το φαινόμενο του «domain shadowing» μπορεί να είναι πιο διαδεδομένο από ό,τι πιστεύαμε, αποκαλύπτοντας 12.197 περιπτώσεις κατά τη σάρωση του web μεταξύ Απριλίου και Ιουνίου 2022.
Δείτε επίσης: Optus hacked: Παραβίαση δεδομένων εκατομμυρίων Αυστραλών
Το domain shadowing είναι μια υποκατηγορία του DNS hijacking, όπου οι απειλητικοί φορείς παραβιάζουν το DNS ενός νόμιμου domain για να φιλοξενήσουν τα δικά τους subdomains για χρήση σε κακόβουλη δραστηριότητα, αλλά δεν τροποποιούν τις νόμιμες καταχωρίσεις DNS που υπάρχουν ήδη.
Αυτά τα subdomains στη συνέχεια χρησιμοποιούνται για τη δημιουργία κακόβουλων σελίδων στους servers των εγκληματιών του κυβερνοχώρου, ενώ οι ιστοσελίδες του ιστότοπου του κατόχου του domain και οι εγγραφές DNS παραμένουν αμετάβλητες και οι κάτοχοι δεν αντιλαμβάνονται ότι έχουν παραβιαστεί.
Δείτε επίσης: Η εταιρεία Wintermute έχασε $162,2 εκατ. σε DeFi hack
Εν τω μεταξύ, οι απειλητικοί φορείς είναι ελεύθεροι να φιλοξενούν διευθύνσεις C2 (command and control), phishing sites και σημεία απόρριψης malware, καταχρώνοντας την καλή φήμη του hijacked domain για να παρακάμψουν τους ελέγχους ασφαλείας.
Οι εισβολείς μπορούν θεωρητικά να αλλάξουν τις εγγραφές DNS για να στοχεύσουν χρήστες και κατόχους των παραβιασμένων domain, αλλά συνήθως προτιμούν να ακολουθήσουν την κρυφή διαδρομή που περιγράφεται παραπάνω.
Δύσκολο να εντοπιστεί
Η Unit 42 εξηγεί ότι ο εντοπισμός πραγματικών περιπτώσεων domain shadowing είναι ιδιαίτερα δύσκολος, γεγονός που καθιστά την τακτική τόσο δελεαστική για τους δράστες.
Οι αναλυτές αναφέρουν ότι το VirusTotal επισήμανε μόνο 200 domain ως κακόβουλα από τα 12.197 domain που αποκάλυψαν οι detectors της Palo Alto.
Οι περισσότερες (151) από τις ανιχνεύσεις VirusTotal σχετίζονταν με μια μεμονωμένη καμπάνια phishing χρησιμοποιώντας ένα δίκτυο 649 shadowed domains σε 16 παραβιασμένους ιστότοπους.
Επιπλέον, οι σελίδες phishing που φιλοξενούνται σε domains με καλή φήμη φαίνονται αξιόπιστες σε έναν επισκέπτη, με αποτέλεσμα να έχει περισσότερες πιθανότητες να υποβάλει δεδομένα στη σελίδα.
Καμπάνια shadowing phishing
Η καμπάνια phishing που ανακαλύφθηκε από τους ερευνητές της Palo Alto παραβίασε 16 domain για να δημιουργήσει 649 subdomain, φιλοξενώντας fake σελίδες σύνδεσης σε σελίδες ηλεκτρονικού ψαρέματος.
Τα subdomains που ανακατευθύνονται στους ιστότοπους phishing μπορούν εύκολα να παρακάμψουν τα φίλτρα ασφαλείας email, καθώς δεν φιλοξενούν τίποτα κακόβουλο και έχουν καλοήθη φήμη.
Δείτε επίσης: 2K Games: Το hacked help desk στόχευε παίκτες με κακόβουλο λογισμικό
Οι απειλητικοί παράγοντες στοχεύουν τα Microsoft account credentials και, ενώ η διεύθυνση URL σαφώς δεν σχετίζεται με τη Microsoft, δεν θα ενεργοποιεί προειδοποιήσεις από τα εργαλεία ασφάλειας στο Διαδίκτυο.
Σε μια περίπτωση, οι κάτοχοι των domain συνειδητοποίησαν το compromise, αλλά όχι πριν δημιουργηθούν πολυάριθμα subdomain και διευκόλυναν κακόβουλες λειτουργίες στην υποδομή τους.
Ενώ η προστασία από rogue subdomains είναι ευθύνη των κατόχων των domain, των καταχωρητών και των παρόχων υπηρεσιών DNS, θα ήταν συνετό οι χρήστες να είναι πάντα προσεκτικοί κατά την υποβολή δεδομένων.
Οι χρήστες πρέπει να ελέγχουν τα πάντα πριν υποβάλουν credentials ή άλλες ευαίσθητες πληροφορίες σε κάποιο website.
Πηγή πληροφοριών: bleepingcomputer.com
 ανακάλυψαν ότι το φαινόμενο του «domain shadowing» μπορεί να είναι πιο διαδεδομένο..){kind=link}