Infoblox研究人员揭露了一个庞大的欺诈性推送通知网络，展示了薄弱的DNS管理规范与"坐以待毙"（Sitting Ducks）漏洞如何助长全球欺诈广告生态。最新报告详细记录了研究团队如何"黑吃黑"——通过控制被遗弃的域名来监听数百万条恶意通知。

漏洞利用与域名劫持

调查始于名为"坐以待毙"的攻击漏洞，威胁行为者通过认领已被原所有者放弃但仍保持活跃DNS委派的域名来实施攻击。Infoblox研究人员发现，某大型推送通知运营商遗留了大量存在此漏洞的域名。

"我们采用DNS技术，通过在DNS提供商处简单认领就控制了被威胁行为者遗弃的域名...这并非中间人（AiTM）攻击，我们实际上是从侧面介入了威胁行为者的运营。"研究人员解释道。

海量数据收集与分析

注册这些被忽视的域名后，研究人员被动接收了大量仍试图连接攻击者基础设施的受害设备流量。"一天之内，我们的收集范围从一个域名扩展到近120个，"报告指出，"数千台受害设备连接到我们的服务器，每秒产生30MB的日志数据。"

两周内收集的5700多万条日志数据，揭示了一个旨在用欺诈诱饵轰炸用户的自动化运营体系。受害者主要为Android Chrome用户，平均每天收到140条通知。

全球分布与欺诈手法

虽然活动覆盖全球60多种语言，但目标明显偏向南亚地区。"孟加拉国、印度、印尼和巴基斯坦占全部流量的50%，"分析显示。

这些通知内容极具欺骗性，利用恐惧、贪婪和"点击诱饵"诱骗用户。"通知主题运用欺骗、恐惧和希望诱导用户点击链接，包括冒充Bradesco、Sparkasse、Recibiste、万事达卡、Touch 'n Go和GCash等正规金融服务。"

其他诱饵更具掠夺性，包括虚假病毒警报（"您的设备已被入侵"）、涉及埃隆·马斯克等公众人物的捏造新闻丑闻，以及成人内容诈骗链接。

低效却持续的黑产运营

尽管垃圾信息数量庞大，该运营的盈利能力却出奇低下。研究人员估计，攻击者从观测流量中每日仅获利约350美元。点击率（CTR）更是惨淡，平均仅为六万分之一。

"其目标并非向更可能参与的用户投放广告，而是试图欺骗人们...让广告商网站流量看似增长，"报告指出。

DNS管理的重要警示

这项研究不仅揭示了联盟欺诈广告的阴暗世界，也为基础设施管理敲响警钟。"坐以待毙"漏洞仍是攻击者的有力工具，使其能够劫持合法声誉用于恶意目的。

"虽然我们'解救'了这些恶意域名，但其他恶意行为者每天都在使用相同技术从合法组织获取休眠域名。"研究人员强调，这不仅关乎诈骗者，合法组织若未能清理DNS记录同样面临风险。

报告总结道："从技术上讲，DNS管理是域名所有者的责任。这就像有人把玩具遗落在人行道上，被别人捡走了。这该怪谁呢？"

参考来源：

Sitting Ducks and Scammy Notifications: Inside a Global Malvertising Operation

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）