Кіберзлочинці використовують техніку атак «Сидячих качок» для захоплення легітимних доменів, які потім застосовуються для фішингових атак та інвестиційних шахрайств. За даними компанії Infoblox, яка спеціалізується на кібербезпеці, майже 800 000 вразливих доменів було ідентифіковано лише за останні три місяці, з яких близько 9% (70 000) вже були захоплені зловмисниками.
Атака «Сидячих качок» дозволяє зловмисникам отримати контроль над доменом через неправильні налаштування в системі доменних імен (DNS). Якщо домен використовує DNS-сервер іншого постачальника, а делегування налаштувань є «кульгавим» (л lame delegation), зловмисники можуть «заявити права» на домен у провайдера DNS та налаштувати записи без доступу до облікового запису легітимного власника.
Дослідження Infoblox показало, що основною метою атак є домени з високою репутацією, що дозволяє зловмисникам залишатися непоміченими. Наприклад, зламані домени включають відомі бренди, некомерційні організації та урядові установи. Деякі з найактивніших зловмисників, які використовують цю техніку, включають такі групи:
- Vacant Viper — використовує для шкідливого спаму, командних серверів та поширення вірусів, таких як DarkGate.
- Horrid Hawk — за допомогою захоплених доменів проводить інвестиційні шахрайства через короткочасні реклами у Facebook.
- Hasty Hawk — здійснює фішингові атаки, імітуючи сторінки DHL та сайти пожертвувань.
- VexTrio Viper — використовує для шахрайських фармацевтичних кампаній, азартних ігор та сайтів знайомств.
Захоплені домени часто використовуються для розсилки спаму, поширення шкідливих програм і викрадення облікових даних, що ставить під загрозу як бізнеси, так і звичайних користувачів. Infoblox зазначає, що деякі зловмисники тримають захоплені домени протягом тривалого часу, не викликаючи підозр, що дозволяє їм діяти непомітно та ефективно здійснювати кібератаки.
