A Infoblox publicou uma análise sobre a campanha Hazy Hawk, um agente de ameaças responsável pelo sequestro de subdomínios vinculados a recursos abandonados na nuvem, como buckets do Amazon S3 e endpoints do Azure. Esses domínios sequestrados são usados para aplicar golpes e distribuir malware, evidenciando a importância da gestão contínua de registros DNS e infraestrutura digital.
Leia também
Ransomware afeta sistemas da MathWorks
Maior engarrafadora da Coca-Cola citada em ataque
O Hazy Hawk identifica registros DNS esquecidos por organizações que encerraram o uso de serviços de nuvem sem remover os apontamentos. Com isso, ele assume o controle dos subdomínios e os utiliza para veicular conteúdo malicioso, incluindo anúncios fraudulentos e notificações push enganosas. A operação afeta milhões de usuários e contribui para prejuízos financeiros substanciais.
Entre os alvos sequestrados estão o Centro de Controle de Doenças dos EUA (CDC), agências governamentais, universidades e empresas internacionais. O grupo atua desde dezembro de 2024 e utiliza técnicas como DNS passivo, redirecionamento múltiplo e ofuscação de URLs para evitar detecção.
O sucesso do Hazy Hawk está associado ao aumento de recursos em nuvem não gerenciados por grandes organizações, resultado de práticas como o abandono de serviços sem a devida exclusão de registros DNS. Isso dificulta a detecção e amplia o impacto dos ataques.
Para se proteger, especialistas recomendam auditorias periódicas nos registros DNS, eliminação imediata de entradas associadas a serviços descontinuados e orientação aos usuários para que neguem notificações push de sites desconhecidos.
