Según investigadores de seguridad, uno de los mayores ataques a la cadena de suministro digital del año fue lanzado por una empresa poco conocida que redirigió a un gran número de usuarios de Internet a una red de sitios de apuestas imitadores.
A principios de este año, una empresa llamada FUNNULL compró Polyfill.ioun dominio que aloja una biblioteca JavaScript de código abierto que, si está integrada en sitios web, puede permitir que navegadores obsoletos ejecuten funciones que se encuentran en navegadores más nuevos. Una vez que tuvo el control de Polyfill.io, FUNNULL utilizó el dominio esencialmente para llevar a cabo un ataque a la cadena de suministro. como informó la empresa de ciberseguridad Sansec en juniodonde FUNNULL se hizo cargo de un servicio legítimo y abusó de su acceso a potencialmente millones de sitios web para enviar malware a sus visitantes.
En el momento de la adquisición de Polyfill.io, el autor original de Polyfill advirtió que nunca fue propietario del dominio Polyfill.io y los sitios web sugeridos eliminan por completo el código alojado de Polyfill para evitar riesgos. Además, los proveedores de redes de entrega de contenido Cloudflare y Fastly lanzaron sus propios espejos de Polyfill.io para ofrecer una alternativa segura y confiable para los sitios web que querían seguir usando la biblioteca Polyfill.
No está claro cuál era exactamente el objetivo del ataque a la cadena de suministro, pero Willem de Groot, el fundador de Sansec, escribió en X en ese momento que parecía ser un intento de monetización “ridículamente malo”.
Ahora, los investigadores de seguridad de Silent Push dicen que mapearon una red de miles de sitios de juegos de azar chinos y la vincularon con FUNNULL y el ataque a la cadena de suministro Polyfill.io.
Según el informe de los investigadoresque se compartió con TechCrunch de antemano, FUNNULL estaba usando su acceso a Polyfill.io para inyectar malware y redirigir visitantes del sitio web a esa red maliciosa de casinos y sitios de juegos de apuestas en línea.
“Parece probable que esta 'red de juegos de azar en línea' sea una fachada”, dijo a TechCrunch Zach Edwards, analista senior de amenazas y uno de los investigadores que trabajó en el informe Silent Push. Edwards añadió que FUNNULL está “operando lo que parece ser una de las redes de juego en línea más grandes de Internet”.
Investigadores de Silent Push dijo en su informe que pudieron identificar alrededor de 40.000 sitios web, en su mayoría en idioma chino, alojados en FUNNULL, todos con dominios de aspecto similar y probablemente generados automáticamente compuestos por una dispersión de letras y números aparentemente aleatorios. Estos sitios parecían hacerse pasar por marcas de casinos y juegos de azar en línea, incluido Sands, un conglomerado de casinos propietario de Venetian Macau, Grand Lisboa en Macao y SunCity Group; así como los portales de juego online Bet365 y Bwin.
Chris Alfred, portavoz de Entain, la empresa matriz de Bwin, dijo a TechCrunch que la empresa “puede confirmar que este no es un dominio de nuestra propiedad, por lo que parece que el propietario del sitio está infringiendo nuestra marca Bwin, por lo que tomaremos medidas para resolverlo”. este.”
Sands, SunCity Group, Macau Grand Lisboa y Bet365 no respondieron a múltiples solicitudes de comentarios.
Edwards le dijo a TechCrunch que él y sus colegas encontraron la cuenta de GitHub de un desarrollador de FUNNULL, que habló sobre “movimiento de dinero”, una expresión que creen que se refiere al lavado de dinero. La página de GitHub también contenía enlaces a canales de Telegram que incluyen menciones de las marcas de juegos de azar suplantadas en la red de sitios de spam, así como también hablan sobre el movimiento de dinero.
“Y esos sitios son todos para mover dinero, o es su propósito principal”, dijo Edwards.
La red sospechosa de sitios, según Edwards y sus colegas, está alojada en Red de distribución de contenidos de FUNNULLo CDN, cuyo sitio web reclamos ser “Hecho en EE. UU.”, pero enumera varias direcciones de oficinas en Canadá, Malasia, Filipinas, Singapur, Suiza y Estados Unidos, todos los cuales parecen ser lugares sin direcciones listadas en el mundo real.
En su perfil en HUIDU, un centro para la industria del juego, FUNNULL dice tiene “más de 30 centros de datos en el continente”, probablemente refiriéndose a China continental, y tiene una “sala de servidores automatizados de alta seguridad en China”.
Para una aparente empresa de tecnología, FUNNULL hace que sea difícil contactar a sus representantes. TechCrunch hizo esfuerzos para contactar a la compañía para buscar comentarios y hacerle preguntas sobre su papel en el aparente ataque a la cadena de suministro, pero no recibió respuestas a nuestras consultas.
En su sitio web, FUNNULL incluye una dirección de correo electrónico que no existe; un número de teléfono que la empresa dice estar en WhatsApp, pero al que no se pudo localizar; el mismo número que en WeChat parece ser propiedad de una mujer en Taiwán sin afiliación a FUNNULL; una cuenta de Skype que no respondió a nuestras solicitudes de comentarios; y una cuenta de Telegram que solo se identifica como “Sara” y tiene el logo FUNNULL como avatar.
“Sara” en Telegram respondió a una solicitud de comentarios, enviada por TechCrunch tanto en chino como en inglés, que contenía una serie de preguntas para este artículo que decían: “No entendemos lo que dijiste” y dejó de responder. TechCrunch también pudo identificar una serie de direcciones de correo electrónico válidas propiedad de FUNNULL, ninguna de las cuales respondió a las solicitudes de comentarios.
Una empresa llamada ACB Group afirmó ser propietaria de FUNNULL el una versión archivada de su sitio web oficialque ahora está fuera de línea. TechCrunch no pudo comunicarse con ACB Group.
Con acceso a millones de sitios web, FUNNULL podría haber lanzado ataques mucho más peligrosos, como instalar ransomware, malware de limpiezao software espíacontra los visitantes de los sitios web spam. Este tipo de ataques a la cadena de suministro son cada vez más posibles porque la Web es ahora una red global compleja de sitios web que a menudo se crean con herramientas de terceros, controladas por terceros que, en ocasiones, podrían resultar maliciosas.
Esta vez, el objetivo aparentemente era monetizar una red de sitios con spam. La próxima vez podría ser mucho peor.
