Μια πρόσφατη έρευνα σε ένα παραπλανητικό δίκτυο ειδοποίησης push-notification δείχνει πώς ένα απλό λάθος DNS μπορεί να ανοίξει ένα παράθυρο στην εγκληματική υποδομή.
Η καμπάνια έκανε κατάχρηση των ειδοποιήσεων του προγράμματος περιήγησης για να πλημμυρίσει τους χρήστες Android με ψεύτικες ειδοποιήσεις ασφαλείας, θέλγητρα για τζόγο και προσφορές ενηλίκων. Οι τομείς με τυχαία εμφάνιση και η κρυφή φιλοξενία προσπάθησαν να κρύψουν τον χειριστή, διατηρώντας παράλληλα τη ροή των κλικ και των χρημάτων από διαφημίσεις σε κίνηση.
Το πρόβλημα εμφανίστηκε όταν ένας τομέας σταμάτησε να επιλύεται, παρόλο που συνέχισαν να φθάνουν ειδοποιήσεις. Αντί για ζωντανές σελίδες προορισμού, τα θύματα είδαν σφάλματα του προγράμματος περιήγησης.
Αυτό που έμοιαζε με διακοπή ρουτίνας ήταν στην πραγματικότητα μια εσφαλμένη ρύθμιση παραμέτρων διακομιστή ονομάτων, αφήνοντας τον τομέα σε μια χαλαρή κατάσταση αντιπροσώπευσης που δεν έδειχνε πλέον ένα έγκυρο backend.
Ερευνητές του Infoblox αναγνωρισθείς αυτή η αδυναμία και συνειδητοποίησε ότι ο παράγοντας απειλής είχε αφήσει τον έλεγχο DNS να γλιστρήσει ενώ οι συσκευές σε όλο τον κόσμο εξακολουθούσαν να καλούνται σπίτι.
Με τη νόμιμη αξίωση του ίδιου τομέα στον πάροχο DNS, η ομάδα ανακατεύθυνε την επισκεψιμότητα στην υποδομή που διαχειριζόταν, χωρίς να αγγίξει τις συσκευές των θυμάτων ή τους διακομιστές του εισβολέα.
Από εκείνο το σημείο, κάθε μήνυμα ώθησης και αίτημα παρακολούθησης που αποστέλλεται από το δίκτυο του χάκερ έφτασε επίσης στον διακομιστή των ερευνητών, δημιουργώντας μια ζωντανή προβολή της επιχείρησης.
.webp.jpeg "Ερευνητές απέκτησαν πρόσβαση σε διακομιστή τομέα χάκερ χρησιμοποιώντας αντιπροσωπεία διακομιστή ονομάτων")
Τις επόμενες ημέρες, χιλιάδες μολυσμένα προγράμματα περιήγησης συνδέθηκαν από όλο τον κόσμο. Κάθε αίτημα περιείχε πλούσια αρχεία καταγραφής JSON σχετικά με τη συσκευή, τη γλώσσα, το κείμενο προσέλκυσης και τη συμπεριφορά κλικ.
Συνολικά, η ομάδα κατέγραψε δεκάδες εκατομμύρια ρεκόρ, αποκαλύπτοντας την επιθετική χρήση της πλαστοπροσωπίας της επωνυμίας και τις τακτικές εκφοβισμού για να κυνηγήσουν τα κλικ.
Τα αρχεία καταγραφής έδειξαν ότι ένας τυπικός χρήστης μπορεί να λαμβάνει περισσότερες από εκατό ειδοποιήσεις την ημέρα, συχνά για μήνες.
Μηχανισμός μόλυνσης: Από ένα κλικ στον συνεχή έλεγχο
Η πορεία της μόλυνσης ξεκίνησε με μια επίσκεψη σε ένα παραβιασμένο ή σκιερό σημείο. Στους χρήστες εμφανίστηκε ένα αναδυόμενο παράθυρο του προγράμματος περιήγησης που τους ζητούσε να επιτρέψουν τις ειδοποιήσεις, αναμεμειγμένες με banner cookie και προτροπές captcha.
Μόλις χορηγηθεί η άδεια, ο ιστότοπος εγκατέστησε έναν εργαζόμενο προσαρμοσμένης υπηρεσίας στο πρόγραμμα περιήγησης, ο οποίος ενεργούσε σαν ένας πράκτορας παρασκηνίου που διατήρησε τη συνδρομή ενεργή.
Αυτός ο υπάλληλος της υπηρεσίας έκανε τακτικά check-in με τον διακομιστή push του εισβολέα, ανακτούσε ενημερωμένα σενάρια και έβγαζε πρότυπα απάτης ή διαφημίσεων. Εάν ο χρήστης έκλεινε την καρτέλα, ο εργαζόμενος παρέμενε ενεργός και συνέχιζε να ενεργοποιεί ειδοποιήσεις.
Με αυτόν τον τρόπο, οι εισβολείς απέκτησαν επίμονη απήχηση χωρίς κλασικά αρχεία κακόβουλου λογισμικού, βασιζόμενοι αντ’ αυτού σε πρότυπα ιστού και αδύναμη υγιεινή DNS.
Όταν η αντιπροσωπεία διακομιστών lame name αποκάλυψε τον εγκαταλελειμμένο τομέα τους, οι υπερασπιστές χρησιμοποιούσαν τα ίδια υδραυλικά για να παρακολουθήσουν αντί να διαδώσουν τις καμπάνιες.
