نجح باحثون في الوصول إلى خادم نطاق لمجرمي الإنترنت عبر استغلال ثغرة في نظام أسماء النطاقات (DNS). سمحت هذه العملية بمراقبة حملة إعلانية خبيثة تستهدف مستخدمي أندرويد عبر إشعارات المتصفح الاحتيالية.
تكشفت هذه الثغرة أثناء تحقيق في شبكة دفع غير قانونية، حيث أدت مشكلة بسيطة في تكوين خادم الأسماء إلى فتح نافذة على البنية التحتية للمخترقين. لم تعد النطاقات العشوائية المستخدمة في الحملة توجه المستخدمين إلى صفحات احتيالية، بل ظهرت لهم رسائل خطأ في المتصفح.
واجهت الحملة مشكلة عندما توقفت إحدى النطاقات عن العمل، على الرغم من استمرار وصول الإشعارات. وبدلاً من الوجهات المرغوبة، واجه الضحايا أخطاء مرورية.
لاحظ باحثو Infoblox هذه المشكلة، وأدركوا أن المهاجم قد فقد السيطرة على نظام أسماء النطاقات دون أن يدرك ذلك، بينما كانت الأجهزة حول العالم لا تزال تحاول الاتصال به.
من خلال الادعاء الشرعي بنفس النطاق لدى مزود DNS، تمكن الباحثون من إعادة توجيه حركة المرور إلى البنية التحتية التي يديرونها، دون الحاجة إلى لمس أجهزة الضحايا أو خوادم المهاجم.
من هذه النقطة، وصل كل إشعار وكل طلب تتبع أرسلته شبكة المخترق إلى خادم الباحثين، مما أتاح لهم رؤية مباشرة للعملية.
مراقبة شبكة إعلانية خبيثة عبر DNS
على مدار الأيام التالية، اتصل آلاف المتصفحات المصابة من جميع أنحاء العالم. حمل كل طلب سجلات JSON غنية حول الجهاز، واللغة، والنص المستخدم في الإغراء، وسلوك النقر.
بشكل إجمالي، التقط الفريق عشرات الملايين من السجلات، كاشفة عن استخدام شرس لانتحال العلامات التجارية وتكتيكات التخويف للحصول على النقرات.
أظهرت السجلات أن المستخدم العادي قد يتلقى أكثر من مائة إشعار يوميًا، غالبًا على مدار أشهر.
من جانبها، أصدرت وزارة الاقتصاد والتجارة في دولة الإمارات العربية المتحدة تحذيرات سابقة حول مخاطر الإشعارات الاحتيالية عبر الإنترنت، داعية المستخدمين إلى توخي الحذر.
آلية الإصابة: من نقرة واحدة إلى سيطرة مستمرة
بدأ مسار الإصابة بزيارة موقع ويب مخترق أو مشبوه. عُرض على المستخدمين نافذة منبثقة في المتصفح تطلب منهم السماح بالإشعارات، ممزوجة مع لافتات ملفات تعريف الارتباط وطلبات CAPTCHA.
بمجرد منح الإذن، قام الموقع بتثبيت عامل خدمة مخصص في المتصفح، يعمل كعميل خلفي يحافظ على تنشيط الاشتراك.
كان عامل الخدمة هذا يتحقق بانتظام من خادم الدفع الخاص بالمهاجم، ويجلب برامج نصية محدثة، ويستخلص قوالب الاحتيال أو الإعلانات.
في هذه الطريقة، تمكن المهاجمون من تحقيق وصول مستمر دون ملفات برامج ضارة تقليدية، معتمدين بدلاً من ذلك على معايير الويب وضعف العادات المتعلقة بـ DNS.
عندما كشفت مشكلة تفويض خادم الأسماء (lame name server delegation) عن نطاقهم المهجور، استخدم المدافعون نفس الآلية للمراقبة بدلاً من نشر حملاتهم.