Um ator de ameaça conhecido como Hazy Hawk foi observado sequestrando recursos de cloud abandonados de organizações de alto perfil, incluindo buckets da Amazon S3 e endpoints da Microsoft Azure, aproveitando-se de más configurações nos registros do Domain Name System (DNS).
Os domínios sequestrados são então utilizados para hospedar URLs que direcionam os usuários para golpes e malware por meio de traffic distribution systems (TDSes), segundo a Infoblox.
Alguns dos outros recursos usurpados pelo ator de ameaça incluem aqueles hospedados na Akamai, Bunny CDN, Cloudflare CDN, GitHub e Netlify.
A empresa de inteligência de ameaças DNS disse que descobriu pela primeira vez o ator de ameaça depois que ele ganhou controle de vários subdomínios associados ao Centro de Controle de Doenças (CDC) dos EUA em fevereiro de 2025.
Desde então, determinou-se que outras agências governamentais ao redor do mundo, universidades de renome e corporações internacionais como Deloitte, PricewaterhouseCoopers e Ernst & Young foram vitimadas pelo mesmo ator de ameaça desde pelo menos dezembro de 2023.
"Talvez o mais notável sobre o Hazy Hawk seja que esses domínios vulneráveis, difíceis de descobrir e com laços com organizações estimadas, não estão sendo utilizados para espionagem ou crimes cibernéticos 'de alto nível'", disseram Jacques Portal e Renée Burton da Infoblox em um relatório compartilhado com a imprensa.
"Em vez disso, eles alimentam o submundo sórdido da adtech, levando as vítimas a uma ampla gama de golpes e aplicativos falsos, e usando notificações de navegador para acionar processos que terão um impacto duradouro."
O que torna as operações do Hazy Hawk notáveis é o sequestro de domínios confiáveis e respeitáveis pertencentes a organizações legítimas, aumentando assim sua credibilidade nos resultados de busca quando são usados para servir conteúdo malicioso e spam.
Mas ainda mais preocupante é que essa abordagem permite que os atores de ameaças evitem a detecção.
A base da operação é a capacidade dos atacantes de assumir o controle de domínios abandonados com registros DNS CNAME pendentes, uma técnica previamente exposta pela Guardio no início de 2024 como sendo explorada por atores mal-intencionados para proliferação de spam e monetização de cliques.
Tudo que um ator de ameaça precisa fazer é registrar o recurso faltante para sequestrar o domínio.
Hazy Hawk vai um passo adiante ao encontrar recursos de cloud abandonados e então comandá-los para propósitos maliciosos.
Em alguns casos, o ator de ameaça emprega técnicas de redirecionamento de URL para ocultar qual recurso de cloud foi sequestrado.
"Usamos o nome Hazy Hawk para este ator devido a como eles encontram e sequestram recursos de cloud que têm registros DNS CNAME pendentes e então os usam em distribuição maliciosa de URL," disse a Infoblox.
É possível que o componente de sequestro de domínio seja fornecido como um serviço e usado por um grupo de atores.
As cadeias de ataque frequentemente envolvem clonar o conteúdo de sites legítimos para o site inicial hospedado nos domínios sequestrados, enquanto atraem vítimas para visitá-los com conteúdo pornográfico ou pirata.
Os visitantes do site são então canalizados via um TDS para determinar onde eles desembarcam a seguir.
"Hazy Hawk é um dos dezenas de atores de ameaça que rastreamos dentro do mundo da publicidade afiliada," disse a empresa.
Atores de ameaça que pertencem a programas de publicidade afiliada direcionam usuários para conteúdo malicioso sob medida e são incentivados a incluir solicitações para permitir notificações push de 'sites' ao longo do caminho de redirecionamento.
Ao fazer isso, a ideia é inundar o dispositivo de uma vítima com notificações push e entregar um fluxo interminável de conteúdo malicioso, com cada notificação levando a diferentes golpes, scareware e pesquisas falsas, e acompanhadas por solicitações para permitir mais notificações push.
Para prevenir e proteger contra as atividades do Hazy Hawk, recomenda-se que os proprietários de domínios removam um registro DNS CNAME assim que um recurso for desligado.
Por outro lado, aos usuários finais, é aconselhado negar solicitações de notificação de sites que não conhecem.
"Enquanto operadores como o Hazy Hawk são responsáveis pelo chamariz inicial, o usuário que clica é levado a um labirinto de adtech duvidoso e francamente malicioso. O fato de que o Hazy Hawk coloca um esforço considerável em localizar domínios vulneráveis e então usá-los para operações de golpe mostra que esses programas de publicidade afiliada são bem-sucedidos o suficiente para pagar bem," disse a Infoblox.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...