Изображение: recraft
Исследователи из Infoblox зафиксировали масштабную кампанию захвата доменов, инициированную злоумышленником под псевдонимом Hazy Hawk. Цель — получить контроль над поддоменами, оставленными без присмотра, и превратить их в площадки для обмана, фишинга и вредоносной рекламы.
Эксперты Infoblox уточнили, что атака начинается с поиска DNS-записей CNAME, ссылающихся на неиспользуемые облачные ресурсы. После обнаружения таких уязвимостей злоумышленник создает новый облачный сервис с тем же именем, указанным в устаревшей записи. Это позволяет перенаправить доверенный поддомен, ранее принадлежавший организациям, в собственное распоряжение.
По информации Infoblox, среди пострадавших — правительственные учреждения, ведущие университеты и корпорации из списка Fortune 500. Используя захваченные поддомены, Hazy Hawk распространяет мошеннические сервисы и фальшивые приложения, маскируя их под легитимные ресурсы.
После перехвата злоумышленник разворачивает на поддомене сотни поддельных страниц. Благодаря высокому доверию к основному домену, эти URL-адреса получают преимущество в поисковых системах, что увеличивает охват потенциальных жертв.
Далее трафик направляется через цепочку редиректов и систему TDS (Traffic Distribution System). Как пояснили в Infoblox, механизм фильтрует пользователей по множеству признаков — IP, тип устройства, использование прокси — чтобы нацелить на них конкретный вид обмана.
Среди типичных сценариев — сайты с фиктивной технической поддержкой, поддельные предупреждения о вирусах, фальшивые видеоплатформы и порнографические ресурсы. Одной из распространённых уловок становится активация push-уведомлений браузера. После этого жертвы продолжают получать агрессивные оповещения, даже покинув вредоносный сайт. Эксперты подчёркивают: этот способ может приносить Hazy Hawk стабильный поток дохода.
Infoblox отмечает, что Hazy Hawk не ограничивается разовыми атаками. Методы злоумышленника предполагают постоянное отслеживание заброшенных конфигураций DNS и автоматическое развертывание поддельной инфраструктуры. В контексте растущей цифровой угрозы этот подход представляет особую опасность, поскольку эксплуатирует доверие к крупным брендам и государственным структурам.
Оригинал публикации на сайте CISOCLUB: "Хакеры маскируются под доверенные сайты и используют DNS-бреши для развёртывания мошеннических платформ".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.