Domain Fronting

Pesquisadores demonstraram, durante os eventos Black Hat e DEF CON, como a técnica de domain fronting pode ser utilizada para ocultar tráfego malicioso por meio de plataformas populares como Google Meet, YouTube e servidores de atualização do Chrome. Essa técnica explora a discrepância entre os cabeçalhos Server Name Indication (SNI) e HTTP Host em requisições HTTPS, permitindo que atacantes disfarcem suas atividades como chamadas legítimas a domínios confiáveis. Em testes de prova de conceito, foi possível invocar funções maliciosas em infraestrutura controlada por atacantes dentro do Google Cloud Platform (GCP) ao manipular esses cabeçalhos. Essa abordagem representa uma nova forma de ataque, especialmente relevante para equipes de segurança, que agora precisam desenvolver capacidades de inspeção mais profundas para identificar padrões de roteamento incomuns, mesmo em tráfego que parece legítimo. A liberação de um redirecionador de código aberto para facilitar a adoção dessa técnica por equipes vermelhas destaca a necessidade urgente de vigilância e mitigação por parte das organizações, que devem equilibrar a utilização de serviços do Google com a detecção de anomalias para evitar que atacantes se escondam em tráfego aparentemente seguro.