Hazy Hawk Gang: Hijos de DNS Misconfigs en Dominios Confiables

Last Updated: 20 de mayo de 2025By

La Amenaza de Hazy Hawk: Cómo el Grupo Aprovecha Errores de Configuración en DNS para Secuestrar Dominios de Confianza

En el mundo digital actual, la seguridad en línea es más crítica que nunca. Un grupo de actores maliciosos conocido como la Hazy Hawk gang se especializa en explotar configuraciones erróneas en registros DNS para secuestrar subdominios de instituciones confiables, como gobiernos, universidades y empresas Fortune 500. Este artículo desglosará cómo Hazy Hawk lleva a cabo sus ataques, sus objetivos y cómo puedes protegerte contra estas amenazas.

¿Quiénes son los Hazy Hawk?

La Hazy Hawk gang es un grupo de ciberdelincuentes que ha estado en el radar de los expertos en ciberseguridad. Se especializan en identificar y apoderarse de registros DNS CNAME olvidados que apuntan a servicios en la nube abandonados. Al hacerlo, logran hacerse con subdominios de gran confianza y los utilizan para distribuir estafas, aplicaciones falsas y publicidad maliciosa.

Proceso de Ataque de Hazy Hawk

El primer paso de Hazy Hawk es identificar posibles objetivos. Los investigadores de Infoblox indican que comienzan escaneando dominios en busca de registros CNAME que dirigen a endpoints de nube abandonados. Utilizan datos de DNS pasivos para validar la existencia de estos registros, lo que les permite determinar qué subdominios están potencialmente desprotegidos.

Registro de Recursos en la Nube

Una vez que Hazy Hawk identifica un dominio vulnerable, procede a registrar un nuevo recurso en la nube utilizando el mismo nombre del registro CNAME original. Esto provoca que el subdominio legítimo redirija al sitio controlado por el actor malicioso. Esta técnica es ingeniosa, ya que la confianza que el público tiene en el dominio original se transfiere al nuevo destino, permitiendo que los ataques se oculten a simple vista.

Ejemplos Notables de Secuestro

Entre los dominios que han caído en manos de la Hazy Hawk gang, encontramos nombres de instituciones prestigiosas y reconocidas:

  • cdc.gov – Centros para el Control y la Prevención de Enfermedades de EE. UU.
  • honeywell.com – Conglomerado multinacional.
  • berkeley.edu – Universidad de California, Berkeley.
  • ted.com – Organización sin fines de lucro famosa por sus charlas TED.

Estos ejemplos demuestran la magnitud del ataque y su capacidad para afectar a organizaciones de gran prestigio. Al hacerse con estos subdominios, Hazy Hawk genera cientos de URLs maliciosas que parecen legítimas en los motores de búsqueda.

Cómo Operan los Ataques de Hazy Hawk

Una vez que el grupo ha logrado controlar un subdominio, la siguiente fase del ataque se activa. Generan una serie de enlaces maliciosos que ponen en peligro la seguridad de los usuarios. Estos enlaces pueden redirigir a los internautas a sitios de estafas, páginas de phishing o incluso a plataformas que distribuyen software malicioso.

Perfiles de Víctimas

La Hazy Hawk gang utiliza una infraestructura de red de redireccionamiento (TDS) que permite perfilar a las víctimas basándose en diferentes parámetros como su dispositivo, dirección IP y uso de VPN. Esto les permite dirigir ataques específicos a usuarios potencialmente vulnerables, aumentando las probabilidades de éxito.

Además, los usuarios que accidentalmente visitan estos sitios pueden recibir notificaciones persistentes en sus navegadores, incluso después de abandonar las páginas iniciales. Esta técnica genera ingresos significativos para los atacantes, ya que pueden monetizar estas notificaciones.

Casos de Uso de los Dominios Secuestrados

Los dominios secuestrados por la Hazy Hawk gang se utilizan para diversas actividades maliciosas, como:

  • Estafas de soporte técnico: Ofrecen asistencia falsa a consumidores desprevenidos.
  • Alertas de antivirus engañosas: Inducen a los usuarios a descargar software que perjudica más que ayuda.
  • Sitios de streaming y contenido para adultos falsos: Atraen tráfico a páginas ilegítimas que buscan monetizar la visita.

Prevención y Recomendaciones de Seguridad

La creciente actividad de la Hazy Hawk gang destaca la importancia de gestionar adecuadamente las configuraciones de DNS. Es crucial que las organizaciones eliminen los registros DNS una vez que los servicios en la nube han sido descontinuados. De lo contrario, los atacantes pueden replicar nombres de recursos originales sin necesidad de autenticación.

Para mitigar los riesgos de estos ataques, se recomienda:

  1. Auditar Regularmente los Registros DNS: Realiza revisiones periódicas para detectar registros CNAME olvidados o no utilizados.
  2. Capacitar al Personal: Asegúrate de que los empleados estén al tanto de las mejores prácticas de seguridad en línea.
  3. Implementar Protección Adicional: Considera el uso de herramientas de seguridad que ofrezcan una capa adicional de defensa, como un antivirus actualizado.

Por ello, siempre recomendamos que te descargues el antivirus gratuito desde nuestra sección de descargas de seguridad recomendadas.

Casos Previos de Amenazas

Es interesante notar que la Hazy Hawk gang no es el único grupo que ha abusado de registros CNAME. Anteriormente, se reportó la existencia de otro actor malicioso, denominado Savvy Seahorse, que también utilizaba configuraciones de DNS para construir redes de redireccionamiento anómalas y llevar a los usuarios a plataformas de inversión fraudulentas.

La Relevancia del Conocimiento de Seguridad Digital

Dada la creciente sofisticación de los ataques, es crucial que tanto los individuos como las organizaciones se mantengan informados sobre las tácticas que los grupos como la Hazy Hawk gang utilizan. La educación y la capacitación en ciberseguridad son herramientas clave para prevenir ataques exitosos.

Recursos para Mantenerte Seguro

Para ayudar a protegerte contra amenazas como las que plantea la Hazy Hawk gang, es recomendable utilizar recursos de seguridad que ayuden a monitorear tu actividad en línea y protejan tus dispositivos. Mantenerse actualizado sobre las tendencias y tácticas en ciberseguridad es esencial.

Recuerda, la seguridad digital es una responsabilidad compartida. Asegúrate de que tu entorno digital esté protegido, no solo para ti, sino también para aquellos que te rodean.

Síntomas de que Estás Bajo Amenaza

Es fundamental identificar los síntomas que pueden indicar que estás siendo víctima de un ataque de este tipo, tales como:

  • Aumento inusual en el tráfico hacia sitios web desconocidos.
  • Notificaciones de browser persistentes y molestas en dispositivos.
  • Experiencias de navegación inusuales o lentas.

Si observas alguno de estos síntomas, considera tomar medidas inmediatas para reforzar tu seguridad digital.

En Resumen

La Hazy Hawk gang está a la vanguardia de un nuevo tipo de ciberataque que explota configuraciones de DNS incorrectas para secuestrar dominios de confianza. A través de sus tácticas ingeniosas, logran engañar a los usuarios y monetizar sus actividades maliciosas. Tu seguridad en línea es importante; implementa las recomendaciones mencionadas y asegúrate de protegerte adecuadamente.

La mejor defensa contra estas amenazas es la educación, la vigilancia y el uso de herramientas de seguridad efectivas. Mantente informado y actúa proactivamente para mantener tus datos y dispositivos a salvo.

Fuente: https://www.bleepingcomputer.com/news/security/hazy-hawk-gang-exploits-dns-misconfigs-to-hijack-trusted-domains/

editor's pick

latest video

news via inbox

Nulla turp dis cursus. Integer liberos  euismod pretium faucibua

Leave A Comment

you might also like