Hackers estão invadindo subdomínios de grandes empresas usando o Azure
Por Felipe Ribeiro | 10 de Julho de 2020 às 10h58
Algumas das maiores empresas e entidades do mundo têm passado por problemas de segurança relacionados aos seus sites e domínios na internet. Segundo o site The Register, hackers sequestraram mais de 240 subdomínios pertencentes a empresas como Volvo, Honeywell, Toshiba, Xerox, Warner e Siemens. Nem mesmo entidades filantrópicas como a UNESCO e a Cruz Vermelha escaparam. A invasão, segundo informações, se deu por causa da maneira como esses endereços estão hospedados no Azure, a plataforma de computação na nuvem da Microsoft.
De acordo com a publicação, essa invasão não se dá diretamente nos sites principais das empresas, mas sim em endereços e domínios pouco utilizados, que podem - e são - utilizados pelos hackers para a transmissão de malwares e spywares. Além disso, esses subdomínios, quando invadidos, podem hospedar sites de pornografia, apostas ilegais, entre outros.
- 21% dos PCs corporativos no Brasil estão vulneráveis a ataques por malwares
- Windows 10 tem nova vulnerabilidade que permite invasões hackers
Um dos exemplos citados foi o da Xerox. Um de seus subdomínios, advanced.core.freeflow.xerox.com, recebeu o comando de hospedar páginas com links para sites de modelos publicitários, utensílios de cozinha, pinturas a óleo e muito mais. Os criminosos fazem isso com a ideia de que a reputação do xerox.com aumentasse o número de links para sites em classificações de mecanismos de pesquisa na web.
Problema antigo
A revelação desse problema vai ao encontro do que já estava acontecendo com outros sites hospedados no Azure. Em março de 2020, por exemplo, uma falha da própria Microsoft permitiu que alguns de seus subdomínios fossem atacados por cibercriminosos que enviavam spams e outros malefícios.
Segundo Zach Edwards, pesquisador de segurança que descobriu essa falha e comunicou à Microsoft, uma parcela desses subdomínios foi sequestrada por um mesmo grupo e que essas pessoas já operam desse modo há anos. Ele também explicou como esses endereços são utilizados pelos criminosos.
"[Os subdomínios] são usados por um grupo criminoso internacional que faz muitas coisas com eles. Algumas páginas são redirecionadas para malware, outras para pornografia, cassinos ou outros clientes em potencial que pagam por links de entrada, outras diretamente para extensões maliciosas do Chrome ou softwares quebrados. É claramente automatizado: eles atingiram toneladas de organizações e carregaram toneladas de malware", disse em entrevista ao The Register.
O grupo geralmente tenta ocultar sua presença após o sequestro de um subdomínio, fazendo com que a URL raiz mostre um erro 404. Edwards diz que cerca de 20% dos subdomínios de sua lista foram encerrados e a Microsoft, assim como as organizações afetadas, já devem estar combatendo esse problema. A gigante de Redmond, inclusive, publicou um artigo explicando como é possível evitar este tipo de sequestro de domínios.
Fonte: TechRadar, The Register