A Palo Alto Networks e a GoDaddy fizeram uma parceria para fechar mais de 15.000 subdomínios que promoviam produtos para perda de peso e outros utensílios que prometiam resultados milagrosos. Os sites procuravam persuadir milhões de usuários para comprar esses produtos, com falsas recomendações de celebridades como Stephen Hawking, Jennifer Lopez e Gwen Stefani.
Os sites comprometidos foram descobertos em uma investigação do pesquisador Jeff White, da Palo Alto Networks Unit 42. Ele examinou uma campanha massiva em que os profissionais de marketing de afiliados usavam spam para levar as vítimas a sites onde às vezes eram direcionados para assinaturas – caras – de mercadorias. White descobriu a network depois de perceber semelhanças visuais marcantes em modelos usados para construir sites que vendem produtos aparentemente não relacionados – de pílulas dietéticas e estimulantes do cérebro a óleo CBD (um óleo derivado da Cannabis).
A GoDaddy analisou as descobertas da Unidade 42 e descobriu que os sites apontavam para subdomínios pertencentes a várias centenas de clientes cujas contas haviam sido comprometidas usando credenciais legítimas. Os invasores provavelmente acessaram essas credenciais através de golpes de phishing, que levaram os clientes a liberar senhas, e também através de credential stuffing, quando os hackers exploram o uso da mesma senha para obter várias contas, levando os dados de login roubados e usando-os para acessar outro.
A GoDaddy fechou os subdomínios comprometidos em março, solicitando que os clientes afetados redefinissem suas senhas, e notificou-os de que executou uma ação de segurança.
A Unit 42 publicou um relatório detalhado sobre a investigação, no qual White descreveu como descobriu a network, como parte de um estudo de dois anos pelo mundo de marketing de afiliado, e de como mapeou a infraestrutura da rede, descobrindo os subdomínios que reportou ao GoDaddy. O relatório descreve como as vítimas eram escolhidas por meio de spans que continham links curtos que remetiam aos sites com ofertas de produtos que proporcionariam resultados milagrosos.
A Unit 42 recomenda que os clientes fiquem atentos para golpes online parecidos, especialmente quando considerarem comprar produtos promovidos via e-mail. Os usuários devem pesquisar todos os produtos ofertados por e-mail ou de anúncios online para determinar sua legitimidade. Os produtos destacados por Jeff White na pesquisa tinham múltiplas reclamações online e eram fáceis de achar. Uma boa regra a seguir é o ditado: “Se é bom demais para ser verdade, provavelmente não é mesmo”.
Para prevenir que contas sejam comprometidas, a Palo Alto Networks recomenda proteger todas as suas contas com senhas únicas, fortes, e implementar a autenticação com dois fatores sempre que for oferecida.
