Hackers estão invadindo subdomínios de grandes empresas usando o Azure

Hackers estão invadindo subdomínios de grandes empresas usando o Azure

Por Felipe Ribeiro | 10 de Julho de 2020 às 10h58
público

Algumas das maiores empresas e entidades do mundo têm passado por problemas de segurança relacionados aos seus sites e domínios na internet. Segundo o site The Register, hackers sequestraram mais de 240 subdomínios pertencentes a empresas como Volvo, Honeywell, Toshiba, Xerox, Warner e Siemens. Nem mesmo entidades filantrópicas como a UNESCO e a Cruz Vermelha escaparam. A invasão, segundo informações, se deu por causa da maneira como esses endereços estão hospedados no Azure, a plataforma de computação na nuvem da Microsoft.

De acordo com a publicação, essa invasão não se dá diretamente nos sites principais das empresas, mas sim em endereços e domínios pouco utilizados, que podem - e são - utilizados pelos hackers para a transmissão de malwares e spywares. Além disso, esses subdomínios, quando invadidos, podem hospedar sites de pornografia, apostas ilegais, entre outros.

Um dos exemplos citados foi o da Xerox. Um de seus subdomínios, advanced.core.freeflow.xerox.com, recebeu o comando de hospedar páginas com links para sites de modelos publicitários, utensílios de cozinha, pinturas a óleo e muito mais. Os criminosos fazem isso com a ideia de que a reputação do xerox.com aumentasse o número de links para sites em classificações de mecanismos de pesquisa na web.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

Problema antigo

A revelação desse problema vai ao encontro do que já estava acontecendo com outros sites hospedados no Azure. Em março de 2020, por exemplo, uma falha da própria Microsoft permitiu que alguns de seus subdomínios fossem atacados por cibercriminosos que enviavam spams e outros malefícios.

Segundo Zach Edwards, pesquisador de segurança que descobriu essa falha e comunicou à Microsoft, uma parcela desses subdomínios foi sequestrada por um mesmo grupo e que essas pessoas já operam desse modo há anos. Ele também explicou como esses endereços são utilizados pelos criminosos.

"[Os subdomínios] são usados ​​por um grupo criminoso internacional que faz muitas coisas com eles. Algumas páginas são redirecionadas para malware, outras para pornografia, cassinos ou outros clientes em potencial que pagam por links de entrada, outras diretamente para extensões maliciosas do Chrome ou softwares quebrados. É claramente automatizado: eles atingiram toneladas de organizações e carregaram toneladas de malware", disse em entrevista ao The Register.

O grupo geralmente tenta ocultar sua presença após o sequestro de um subdomínio, fazendo com que a URL raiz mostre um erro 404. Edwards diz que cerca de 20% dos subdomínios de sua lista foram encerrados e a Microsoft, assim como as organizações afetadas, já devem estar combatendo esse problema. A gigante de Redmond, inclusive, publicou um artigo explicando como é possível evitar este tipo de sequestro de domínios.

Fonte: TechRadar, The Register

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.