Con las fuertes y grandes campañas de expansión del malware Grandcrab las cuales se han ido informando, se descubre que el conocido proveedor de DNS Godaddy fue afectado.
Escanear las entradas DNS y comprobar si estas dirigen a un sitio perteneciente a Godaddy u otro proveedor externo es una tarea común en la administración de los dominios, el problema siempre cae en la verificación del host externo el cual puede ser legítimo o fraudulento
Muchas personas poseen un dominio de Godaddy y, en consecuencia, utilizan el servicio DNS propio de este, a su vez también alojan su sitio web o sus correos electrónicos externamente fuera de Godaddy.
Comunicado dirigido especialmente a empresas, que compran un nombre de dominio, el cual nunca usan o fue usado en algún momento pero ya no lo necesitan, manteniéndolo registrado para evitar que la competencia o cualquier otra persona lo utilice. El DNS es abandonado en el servidor DNS de GoDaddy, sin ningún archivo de zona existente que indique dónde deben enviarse las solicitudes de ese nombre de dominio que ha sido vulnerable al exploit por una configuración incorrecta. Esta configuración errónea habría permitido a cualquier titular de la cuenta de GoDaddy o con acceso a los mismos servidores DNS con un nombre de dominio "vulnerable" (Uno sin un archivo de zona existente) agregar ese nombre de dominio a la cuenta y dirigirlo a un servidor cualquiera.
Esto puede suceder en cualquier servidor, es un problema de los servidores "compartidos" controlados por Cpanel y WHM.
Se estima que la configuración de "Permitir dominios remotos" o similar permite que esto suceda.
Hay que considerar que los dominios afectados que llegan a un gran número son bastante conocidos, e incluso algunos de ellos se encuentran registrados por más de diez años.
Son dos los temas básicos de esta campaña que comenzaron el 1 de febrero del 2019. Entregas de DHL y mensajes de fax por correo electrónico
Algunos temas y presuntos remitentes incluyen:
- Entrega urgente DHL Express
- Detalles del envío DHL Express
- Detalles del pedido DHL Express
- Estado de envío DHL Express
- Nuevo mensaje de XFAX AT&T E-FAX
- Nuevo еFAX: Sogatel E-FAX
Los dominios utilizan servidores DNS Godaddy NS57.DOMAINCONTROL.COM y NS58.DOMAINCONTROL.COM
Estos dominios están alojados en dos rangos de IP, Ambas compañías son nuevas en la lista de servicios de hosting involucrados en esta campaña llamada "Spammy Bear":
185.144.28.* AS44493 Chelyabinsk-Signal LLC : una empresa de hosting rusa.
89.191.234.* AS40824 WZ Communications Inc. : con sede en Texas, EE. UU.
REFERENCIA
COMENTARIOS