Cibercriminosos sequestraram domínios da GoDaddy para aplicar spam com ameaça de bomba e outros ataque

A campanha de spam que exigiu pagamentos de USD 20.000 em bitcoin sob a ameaça de explodir empresas, escolas e outros locais em vários países, incluindo os EUA e o Canadá, no mês passado, provavelmente explorou uma falha da GoDaddy.

Como a Ars Technica relatou, com o apoio do pesquisador de antispam Ronald Guilmette, a falha permitiu que spammers sequestrassem milhares de domínios pertencentes a empresas conhecidas e legítimas, como o Yelp, o Expedia e o Mozilla. Ao todo, a falha deixou mais de 500.000 domínios vulneráveis, passíveis de serem sequestrados.

Também é sabido que os spammers da ameaça de bomba usaram a falha, ou exploit, para outros tipos de ataques de spam, incluindo uma campanha de chantagem sexual, ou sextortion, e fraudes envolvendo multas de estacionamento e entrega de pacotes. Como os domínios sequestrados tinham boa reputação, o golpe ganhou legitimidade, deixando muitas pessoas em alerta.

De acordo com Guilmette, muitos dos domínios sequestrados usaram endereços IP da Reg.ru, um provedor de hospedagem russo, e foram transferidos da GoDaddy antes do início dos ataques. O pesquisador nomeou o grupo de spammer como Spammy Bear.

Para resumir o exploit, os invasores aproveitaram o fato de que muitos proprietários de domínios não mantêm as informações do nome do servidor atualizadas ao remover um arquivo de zona. Além disso, muitas empresas de hospedagem que oferecem serviços gerenciados de DNS não fazem uma verificação completa quando as pessoas adicionam domínios às suas contas.

O pesquisador de cibersegurança Matthew Bryant já falou sobre esse assunto, detalhando o problema, em um de seus posts, Floating Domains, em 2016.

Para ter o seu domínio e o site protegidos em uma situação como essa, você precisa garantir que os seus dados, as suas informações de nome de servidor, estejam sempre atualizados.