- Устаревшие записи данных DNS Создают невидимые отверстия для преступников для распространения вредоносных программ с помощью законных веб -сайтов
- Fatige Falcon преобразует неправильно настроенные облачные ссылки в случаи безмолвного утечки для мошенничества и инфекции
- Жертвы думают, что посещают настоящий веб -сайт, пока всплывающие окна и вредоносное ПО приобретет поглощение
Результатом является тревожная новая онлайн -угроза, в которой преступные субдомены, такие как Bose, Panasonic и даже US CDC (Центры по контролю и профилактике заболеваний), чтобы распространять вредоносное ПО и совершение мошенничества в Интернете.
Как отмечено экспертами по безопасности ПотокВ центре этой кампании находится группа угроз, известную как пыльный ястреб, который последовал относительно спокойному, но высокоэффективному подходу к доверию пользователя и оружия против ничего не подозревающих посетителей.
Это удаление субдомена не является результатом прямого взлома, а скорее упущенных слабостей в инфраструктуре.
Эксплуатация, основанная на административном надзоре
Вместо того, чтобы нарушать сети грубой силой или фишингом, Hawk использует облачные ресурсы, которые связаны с неправильно настроенными записями DNS CNAME, сдались.
Эти так называемые «висящие» записи происходят, когда организация выводила из эксплуатации облачный сервис, но награду за обновление или удаление записи DNS, которая указывает, и субдомен остается восприимчивым.
Например, забытый поддомен похож на что -то.
Этот метод опасен, потому что недопонимание обычно не характеризуются обычными системами безопасности.
Перенаправленные субдоменцы становятся платформами для предоставления мошенничества, включая фальшивые предупреждения о антивирусе, техническую поддержку и вредоносные программы, которые замаскированы под обновления программного обеспечения.
Hasy Hawk не только останавливается при похищении, но и группа использует системы распределения движения (TDS) для преобразования пользователей из похищенных субдоменов в вредоносные цели.
Этот TDS, такой как viralclipnow.xyz, оценивает тип устройства, местоположение и поведение браузера пользователя для обслуживания мошенничества с адаптированием.
Обход часто начинается с, по -видимому, безвредного разработчика или доменов блога, таких как Share.js.org, прежде чем пользователи смешивают сеть обмана.
Как только пользователи примут уведомления Push, вы продолжите получать сообщения о мошенничестве после первой инфекции и найдете постоянный вектор для мошенничества.
Последствия этих кампаний более чем теоретические и повлияли на ведущие организации и компании, такие как CDC, Panasonic и Deloitte.
Люди могут защитить себя от этих угроз, отвергая запросы уведомлений о Push из неизвестных мест и осторожно осторожно со ссылками, которые кажутся слишком хорошими, чтобы быть правдой.
Для организаций основное внимание должно быть сосредоточено на гигиене DNS. Если вы не удаляете записи DNS для заброшенных облачных сервисов, субдомины подвержены поглощению.
Автоматизированные инструменты мониторинга DNS, особенно те, которые интегрированы в угрозы, могут помочь распознать признаки компромиссов.
Команды безопасности должны рассматривать эти неправильные конфигурации как критические пробелы в безопасности, а не как незначительный надзор.
Вы также могли бы понравиться
