Aldatıcı bir anlık bildirim ağına ilişkin yakın zamanda yapılan bir araştırma, basit bir DNS hatasının suç altyapısına nasıl bir pencere açabileceğini gösteriyor.
Kampanya, Android kullanıcılarını sahte güvenlik uyarıları, kumar tuzakları ve yetişkinlere yönelik tekliflerle boğmak için tarayıcı bildirimlerini kötüye kullandı. Rastgele görünen alanlar ve gizli barındırma, tıklama akışını ve reklam parasını hareket ettirirken operatörü gizlemeye çalıştı.
Bildirimler gelmeye devam etmesine rağmen bir alan adının çözümlenmesi durdurulduğunda sorun ortaya çıktı. Kurbanlar, canlı açılış sayfaları yerine tarayıcı hatalarını gördü.
Rutin bir kesinti gibi görünen şey aslında yanlış yapılandırılmış bir ad sunucusu kurulumuydu ve etki alanını artık geçerli bir arka uca işaret etmeyen yetersiz bir yetkilendirme durumunda bırakıyordu.
Infoblox araştırmacıları bu zayıflığı tespit etti ve tehdit aktörünün, dünya çapındaki cihazlar hâlâ ev olarak adlandırılırken DNS kontrolünün kaymasına izin verdiğini fark etti.
Ekip, DNS sağlayıcısında aynı alan adını yasal olarak talep ederek, kurban cihazlarına veya saldırganın sunucularına dokunmadan trafiği yönettikleri altyapıya yönlendirdi.
Bu noktadan itibaren, bilgisayar korsanının ağı tarafından gönderilen her anlık mesaj ve izleme isteği, araştırmacıların sunucusuna da ulaşarak operasyonun canlı bir görüntüsünü oluşturdu.
.webp)
Sonraki günlerde dünyanın dört bir yanından binlerce virüslü tarayıcı bağlandı. Her istek, cihaz, dil, yem metni ve tıklama davranışı hakkında zengin JSON günlükleri taşıyordu.
Ekip toplamda on milyonlarca kayıt yakaladı ve tıklamaları kovalamak için marka kimliğine bürünme ve korkutma taktiklerinin agresif bir şekilde kullanıldığını ortaya çıkardı.
.webp)
Günlükler, tipik bir kullanıcının, genellikle aylar boyunca, günde yüzden fazla bildirim alabileceğini gösterdi.
Enfeksiyon Mekanizması: Tek Tıklamadan Sürekli Kontrole
Enfeksiyon yolu, tehlikeye atılmış veya gölgeli bir siteye yapılan ziyaretle başladı. Kullanıcılara, çerez bannerları ve captcha istemleriyle birlikte bildirimlere izin vermelerini isteyen bir tarayıcı açılır penceresi gösterildi.
İzin verildikten sonra site, tarayıcıya aboneliği aktif tutan bir arka plan aracısı gibi davranan özel bir hizmet çalışanı kurdu.
Bu hizmet çalışanı düzenli olarak saldırganın push sunucusunu kontrol etti, güncellenmiş komut dosyalarını getirdi ve dolandırıcılık veya reklam şablonlarını aldı. Kullanıcı sekmeyi kapatırsa çalışan etkin kaldı ve bildirimleri tetiklemeye devam etti.
Bu şekilde saldırganlar, klasik kötü amaçlı yazılım dosyaları olmadan, web standartlarına ve zayıf DNS hijyenine güvenerek kalıcı erişim elde etti.
Sorunlu alan adı sunucusu heyeti, terk edilmiş alan adlarını açığa çıkardığında, savunucular kampanyaları yaymak yerine izlemek için aynı tesisatı kullandılar.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
