Pesquisadores de cibersegurança descobriram que mais de 70.000 domínios legítimos foram sequestrados em um esquema de ataque conhecido como “Sitting Ducks”, utilizado por atores maliciosos em campanhas de phishing e fraudes de investimento. De acordo com a análise, quase 800.000 domínios foram identificados como vulneráveis nos últimos três meses, dos quais aproximadamente 9% foram efetivamente sequestrados. Desde 2018, cibercriminosos têm explorado essa técnica para controlar domínios pertencentes a marcas renomadas, ONGs e órgãos governamentais. Embora documentada pela primeira vez em 2016 pelo pesquisador Matthew Bryant, sua verdadeira escala só foi divulgada amplamente em agosto de 2024.

O ataque Sitting Ducks explora falhas na configuração do sistema DNS de domínios. A técnica ocorre quando o domínio delega o serviço DNS a um provedor diferente do registrador, mas a delegação é “incompleta” (lame delegation). Nesse contexto, atacantes conseguem “reivindicar” o domínio e configurar os registros DNS sem acesso à conta original do proprietário no registrador. Entre os domínios sequestrados, há uma diversidade de setores afetados, como entretenimento, advocacia, e-commerce e fornecedores médicos. Por se tratar de domínios legítimos, eles frequentemente passam despercebidos por ferramentas de segurança, o que aumenta o impacto dos ataques.

Um padrão comum nos ataques Sitting Ducks é o “sequestro rotativo”, no qual um mesmo domínio é tomado sucessivamente por diferentes atores ao longo do tempo. Muitos atacantes utilizam serviços gratuitos, como o DNS Made Easy, mantendo o domínio sequestrado por períodos de 30 a 60 dias. Quando o período gratuito expira, o domínio é abandonado e pode ser reivindicado por outro grupo malicioso, perpetuando o ciclo de ataques.