Hacker Hazy Hawk explora falhas em registros de DNS para sequestrar domínios de grandes organizações e disseminar malware

Um hacker identificado como Hazy Hawk tem chamado a atenção de especialistas em cibersegurança por explorar vulnerabilidades em registros do Sistema de Nomes de Domínio (DNS) para assumir o controle de recursos digitais abandonados pertencentes a organizações de alto perfil, como o Centro de Controle e Prevenção de Doenças dos Estados Unidos (CDC), agências governamentais globais, universidades renomadas e gigantes corporativas, incluindo Deloitte, PricewaterhouseCoopers e Ernst & Young. A operação, que vem sendo rastreada desde pelo menos dezembro de 2023, utiliza esses domínios sequestrados para hospedar URLs maliciosas que direcionam usuários a golpes digitais, disseminação de malware e conteúdos fraudulentos por meio de sistemas de distribuição de tráfego (TDS).

De acordo com a empresa de inteligência em ameaças DNS Infoblox, o hacker aproveita configurações incorretas em registros DNS, especialmente os chamados registros CNAME pendentes, que apontam para recursos em nuvem desativados, como buckets do Amazon S3, endpoints do Microsoft Azure, além de plataformas como Akamai, Bunny CDN, Cloudflare CDN, GitHub e Netlify. A técnica permite que Hazy Hawk registre esses recursos abandonados, assumindo o controle de subdomínios legítimos e utilizando a reputação dessas organizações para aumentar a credibilidade de seus links maliciosos nos resultados de busca, dificultando a detecção por sistemas de segurança.

A Infoblox identificou as atividades de Hazy Hawk pela primeira vez em fevereiro de 2025, quando o hacker conseguiu controlar subdomínios associados ao CDC. Desde então, investigações revelaram que o mesmo modus operandi foi aplicado a outras instituições de peso global. "O que torna Hazy Hawk notável é o uso de domínios confiáveis de organizações respeitadas não para espionagem ou crimes cibernéticos sofisticados, mas para alimentar o submundo da publicidade digital fraudulenta", afirmam Jacques Portal e Renée Burton, pesquisadores da Infoblox, em relatório compartilhado com o The Hacker News. Os alvos são direcionados a uma rede de golpes, incluindo aplicativos falsos, scareware (programas que assustam o usuário com alertas falsos) e pesquisas fraudulentas, muitas vezes acompanhadas de solicitações para ativar notificações push no navegador.

A estratégia do hacker é particularmente eficaz porque explora a confiança inerente aos domínios de organizações legítimas. Em muitos casos, Hazy Hawk clona o conteúdo de sites autênticos para criar páginas falsas hospedadas nos domínios sequestrados, atraindo vítimas com promessas de conteúdo pornográfico ou pirata. Essas páginas, por meio de sistemas TDS, redirecionam os visitantes para diferentes destinos maliciosos, dependendo de fatores como localização ou comportamento do usuário. Além disso, as notificações push são usadas para bombardear as vítimas com anúncios indesejados, perpetuando um ciclo de exposição a conteúdos maliciosos.

A operação de Hazy Hawk também levanta a possibilidade de que o sequestro de domínios seja oferecido como um serviço no mercado clandestino, permitindo que outros hackers utilizem a mesma técnica. "A habilidade de Hazy Hawk em localizar e explorar recursos em nuvem abandonados demonstra a lucratividade desses esquemas no mundo dos programas de afiliados publicitários", explica a Infoblox. Para protegerem-se, os proprietários de domínios são orientados a remover imediatamente registros CNAME associados a recursos desativados. Já os usuários finais devem evitar aceitar solicitações de notificações de sites desconhecidos, reduzindo o risco de cair em armadilhas digitais.

A sofisticação das táticas de Hazy Hawk evidencia a crescente complexidade dos golpes online, que se valem de brechas técnicas e da confiança dos usuários em marcas conhecidas. "O esforço dedicado para encontrar domínios vulneráveis e usá-los em operações de fraude mostra o quanto esses esquemas são financeiramente vantajosos", alerta a Infoblox. A recomendação é clara: maior vigilância e boas práticas de segurança digital são essenciais para combater essa nova onda de cibercrime.

Via - THN