Han surgido más detalles sobre FUNNULL, la empresa que compró el servicio Polyfill.io y lo utilizó para lanzar un importante ataque a la cadena de suministro?
Una nueva investigación afirma que el servicio ahora se utiliza como parte de un enorme plan de lavado de dinero que involucra a decenas de miles de sitios de apuestas falsos para víctimas chinas.
Investigadores de seguridad Silent Push publicó un nuevo informe afirmando haber trazado una red de 40.000 sitios de juegos de azar chinos, respaldados por FUNNULL y redirigidos al uso de Polyfill. En su ataque, FUNNULL se hizo pasar por una docena de marcas de la industria del juego y utilizó más de 200.000 nombres de host únicos, el 95 % de los cuales se crearon utilizando algoritmos de generación de dominios.
No hay solución
Polyfill.io otorga funcionalidades modernas en versiones anteriores navegadoreslo que permite a los desarrolladores web utilizar estándares web modernos sin preocuparse por la compatibilidad. El servicio y el dominio que lo acompaña fueron adquiridos en febrero de 2024 por una empresa poco conocida llamada FUNNULL. Investigaciones posteriores han demostrado que la empresa es de origen chino y probablemente completamente falsa e inexistente.
Cuando FUNNULL adquirió Polyfill, sus desarrolladores originales instaron a los usuarios (aproximadamente 100.000 sitios web) a dejar de usarlo inmediatamente y buscar alternativas seguras (tanto Cloudflare como Fastly tenían réplicas legítimas en ese momento).
En junio de 2024, los expertos en ciberseguridad de Sansec advirtieron que polyfill estaba distribuyendo malware. “Este dominio fue sorprendido inyectando malware en dispositivos móviles a través de cualquier sitio que incorpore cdn.polyfill.io”, dijo Sansec en ese momento. Google también intervino, notificando a los anunciantes afectados sobre sus páginas de destino que ahora posiblemente redirigen a los visitantes fuera de su destino previsto y hacia sitios web posiblemente maliciosos.
A principios de esta semana, los investigadores de seguridad de Silent Push publicó un nuevo informeafirma haber trazado una red de 40.000 sitios de juegos de azar chinos, respaldados por FUNNULL y redirigidos al uso de polyfill.
En su ataque, FUNNULL se hizo pasar por una docena de marcas de la industria del juego y utilizó más de 200.000 nombres de host únicos, el 95 % de los cuales se crearon utilizando algoritmos de generación de dominios.
Lo más probable es que los sitios web se utilizaran para el lavado de dinero y otros esquemas, y Silent Push cree que FUNNULL está directamente vinculado al Grupo Lazarus, un notorio actor de amenazas patrocinado por el estado de Corea del Norte que es conocido por apuntar a usuarios de criptomonedas.
A través de TechCrunch
