Um grupo de cibercriminosos conhecido como Hazy Hawk está explorando recursos em nuvem abandonados de organizações renomadas, como buckets do Amazon S3 e endpoints do Microsoft Azure, para sequestrar domínios e disseminar malware e golpes. A técnica aproveita falhas na configuração de registros DNS, especialmente CNAMEs órfãos, permitindo que o grupo assuma o controle de subdomínios antes usados por instituições respeitadas.

O grupo já comprometeu domínios vinculados ao Centro de Controle e Prevenção de Doenças dos EUA (CDC), além de agências governamentais internacionais, universidades e grandes corporações como Deloitte, PwC e Ernst & Young, com ataques documentados desde dezembro de 2023. Ao assumir esses domínios legítimos, o Hazy Hawk os utiliza para redirecionar usuários para conteúdos maliciosos, golpes e softwares falsos, frequentemente disfarçados de notificações do navegador.

O ataque ganha força ao alavancar a credibilidade dos domínios sequestrados, o que ajuda a burlar sistemas de detecção. Além disso, os criminosos clonam sites legítimos e utilizam sistemas de distribuição de tráfego (TDS) para decidir a que tipo de golpe cada visitante será exposto, desde pornografia e conteúdo pirateado até notificações push com promessas enganosas. A recomendação é que proprietários de domínios removam registros DNS assim que um recurso for desativado e que usuários neguem solicitações de notificações de sites desconhecidos.