Negli ultimi mesi è emersa una minaccia significativa legata all’hijacking di domini tramite vulnerabilità nei record DNS, con particolare attenzione alle attività del gruppo Hazy Hawk. Questo attore malevolo ha sfruttato risorse cloud abbandonate di organizzazioni di alto profilo, tra cui CDC, Deloitte, PricewaterhouseCoopers, Ernst & Young e altre, prendendo il controllo di bucket Amazon S3, endpoint Microsoft Azure, e servizi di CDN come Akamai, Bunny CDN, Cloudflare, GitHub e Netlify.

Il meccanismo di attacco

Il meccanismo sfruttato da Hazy Hawk si basa sull’individuazione di domini con record DNS CNAME “pendenti” o “dangling”: quando una risorsa cloud collegata a un sottodominio viene eliminata ma il record DNS non viene aggiornato, un attaccante può registrare nuovamente la risorsa e di fatto prendere il controllo del dominio. Questo consente al gruppo di utilizzare domini affidabili per veicolare malware, truffe online e spam attraverso sofisticati sistemi di distribuzione del traffico (TDS).

Impatto globale

La portata della minaccia è globale: oltre a enti pubblici americani come il CDC, sono state colpite agenzie governative di altri Paesi, università di rilievo internazionale e grandi aziende. Secondo le analisi di Infoblox, l’attività di Hazy Hawk è documentata almeno dal dicembre 2023, ma la tecnica era già stata descritta all’inizio del 2024 da Guardio come vettore di spam e monetizzazione tramite click fraudolenti.

La pericolosità della campagna

Ciò che rende pericolosa questa campagna è la capacità di sfruttare la reputazione dei domini compromessi: i siti appaiono affidabili nei risultati di ricerca e sono più difficili da individuare e bloccare dalle soluzioni di sicurezza tradizionali. Nella pratica, gli utenti vengono attirati su queste pagine – spesso tramite contenuti pornografici o piratati – e subiscono una serie di reindirizzamenti che li espongono a notifiche push malevole, truffe, scareware e richieste di ulteriori notifiche, generando un flusso continuo di rischi.

Raccomandazioni

Hazy Hawk rappresenta uno degli attori più attivi nell’ambito degli affiliati pubblicitari criminali, dove l’obiettivo è massimizzare i guadagni tramite la diffusione di contenuti dannosi e la raccolta di click. Gli esperti raccomandano ai proprietari di domini di eliminare immediatamente i record DNS CNAME non più utilizzati e agli utenti di negare le richieste di notifiche push da siti sconosciuti, riducendo così la superficie d’attacco.