Miles de dominios web secuestrados debido a vulnerabilidad en GoDaddy

Un atacante desconocido ha explotado esta debilidad para desplegar múltiples campañas de emails maliciosos

A finales del año pasado una campaña de amenazas de bomba vía email provocó evacuaciones masivas y cierres de actividades en cientos de organizaciones en Estados Unidos, Canadá y algunas zonas de Latinoamérica, el hecho fue reportado por investigadores de todo el mundo, como los expertos en seguridad en redes del Instituto Internacional de Seguridad Cibernética.

Recientemente, fue publicada una investigación detallada sobre esta campaña, donde se concluyó que fue posible gracias a una vulnerabilidad en GoDaddy que permitió a los atacantes secuestrar decenas de dominios pertenecientes a Mozilla, Yelp, entre otras organizaciones. Acorde a los investigadores, usando el mismo exploit los atacantes consiguieron secuestrar miles de dominios pertenecientes a múltiples organizaciones para desplegar otras campañas de spam o chantaje contra algunos usuarios desprevenidos.

La distribución de los emails maliciosos a través de dominios legítimos fue la piedra angular de este ataque. Esta técnica, conocida como “snowshoe spam”, le da a estos mensajes una apariencia normal y legítima, lo que incrementa la posibilidad de que el email malicioso sea entregado, reportan expertos en seguridad en redes.

Entre los dominios que enviaron estos mensajes se encuentran  wotdonate.com, wothome.com, wotlifestyle.com, wotnetwork.com y wotscooking.com, registrados como propiedad de Expedia. Otros dominios, como yelpmarketingservices.com, virtualfirefox.com y blueestatescoffee.com, pertenecen a organizaciones como Yelp y Mozilla. En total, se registraron 78 dominios usados para distribuir el spam, aunque no se descarta que haya más sitios involucrados.

Por otra parte, el número de dominios secuestrados por el mismo usuario o grupo para otras campañas es mucho más grande. Un análisis del experto en seguridad en redes Ronald Guilmette demuestra que, en los años más recientes, este individuo o grupo ha secuestrado cerca de 40 mil dominios pertenecientes a más de 500 empresas o personas físicas, incluyendo sitios como MasterCard International, Hilton International, ING Bank, el MIT, McDonalds Corp. e incluso la autoridad certificadora DigiCert.   

La evidencia recolectada por Guilmette es suficiente para vincular la campaña de amenazas de bomba de diciembre de 2018 con otras campañas de fraude por correo electrónico, aunque los investigadores aún deben encontrar la identidad de la persona o grupo de personas detrás de estos ataques. De manera preliminar, los investigadores han apodado a la entidad responsable “Spammy Bear”, pues los ataques suelen involucrar IPs ubicadas en Rusia.

Por su parte, GoDaddy respondió mediante un comunicado: “Después de realizar una investigación interna, nuestros equipos han confirmado que un actor malicioso explotó nuestro proceso de configuración DNS. Ya hemos ideado una solución, misma que estamos en proceso de implementar. A pesar de las acciones maliciosas de los atacantes, en ningún momento cambió la propiedad de las cuentas de los clientes, ni se expuso su información personal”.

Aunque los equipos de GoDaddy no revelaron detalles técnicos sobre la vulnerabilidad explotada, varias pruebas demuestran que se trataba de una debilidad presente en toda su estructura, misma que ha afectado a otros proveedores de servicios DNS en ocasiones anteriores.

(Visited 400,1 times)