Изследователи от Infoblox разкриха огромна, координирана мрежа от около 30 000 уникални уеб адреса (в рамките на 584 TLD), които функционират като разпределена инфраструктура за насочване на милиони посетители към измами и, в около 1% от случаите, към инсталиране на инфостийлър Malware (StrelaStealer). Основният отличителен елемент на операцията е използването на DNS-базиран командно-контролен канал, което затруднява откриването и възпира реакциите на доставчиците на услуги.

Как работи схемата — „невидимата“ команда през DNS

Атакуващите компрометират голям брой уебсайтове, които на повечето посетители изглеждат нормално. Схемата функционира като многоетапен процес:

1. Посетител зарежда компрометирана страница — съдържанието първоначално е невредимо.

2. Уеб сървърът съставя DNS заявка (TXT) към контролирания от атакуващите DNS сървър, предавайки информация като IP адрес, тип устройство и идентификационен низ.

3. DNS сървърът връща текстов запис (често Base64-обфускиран), съдържащ команда и URL за следващ етап.

4. Уеб сървърът извлича посочения staged payload (напр. downloader, ZIP) и го подава на браузъра/посетителя.

5. В резултат ~90% от потребителите не виждат нищо подозрително, ~9% се пренасочват към измамни оферти, а ~1% получават директно StrelaStealer.

Технологията е изключително еластична: нападателите сменят DNS домейни и IP адреси, използват Cloudflare и „bulletproof“ хостинг/регистратори, които игнорират оплакванията, и заменят C2 домейните след всяка намеса.

Мащаб и ефекти

• В рамките на 48 часа след sinkhole действие изследователите събраха над 39 милиона DNS заявки от ~30 000 хоста.

• Мрежата привлича милиони посещения дневно; част от трафика е ботнет трафик, ползван за измами с рекламни кликове.

• Веднъж сигнализиран и sinkholed, един домейн беше заменен с нов, но периодичният  sinkholing и координираните действия намаляват активността временно.

Видове доставяни заплахи

• Фишинг / измами (TDS – Traffic Distribution Systems): пълноекранни манипулации, фалшиви CAPTCHA, страници за „техподдръжка“, крипто и романтични измами.

• Инфостийлъри (StrelaStealer): извличане на имейл креденшъли от Outlook/Thunderbird и други ценни потребителски данни.

• Рекламен/клик измамен трафик: икономическа експлоатация чрез бот трафик и приходи от мошенически реклами.

Извиршителите на операцията

• Detour Dog: основният оператор, регистриран от изследователите; действа от 2020 г., първоначално препращал трафик към големи TDS (Los Pollos / Help TDS), впоследствие започва и директно разпространение на malware.

• Hive0145: оператор, свързан със StrelaStealer; изглежда е партньор или клиент на Detour Dog в рамките на услугата за доставяне на зловреден софтуер.

Проблеми с регистраторите и хостинг доставчиците

Докладването на един от C2 домейните до голяма азиатска регистрарна компания (WebNIC) е останало без действие въпреки многократни предупреждения и доказателства. ICANN е изпратила бележка, а само след sinkhole от Shadowserver активността е временно прекъсната. Това подчертава проблема с „bulletproof“ инфраструктурата и необходимостта от по-строга регулаторна и оперативна координация.

Препоръки за защита (за организации и крайни потребители)

За организации / администратори

• DNS като първа линия: внедрете DNS-филтриране и анализ на TXT записи; използвайте DNS-базирана детекция за аномалии и възможности за sinkhole/черни списъци.

• Мониторинг на сървърните заявки: следете за необичайни server-side DNS заявки от вашите хоствани сайтове. Ако уеб сървър отправя външни DNS TXT заявки, това е сериозен индикатор.

• Проверка на интегритета на съдържанието: периодично валидирайте файловете и конфигурациите на уебсайтовете за непланирани промени и web shells.

• Сегментация и rate limiting: ограничете възможността компрометиран хост да служи за множество пренасочвания; налагайте ограничения за извънредни заявки.

• Координация с доставчици и регистратори: настоявайте пред доставчиците за бърза реакция и изисквайте прозрачност при злоупотреби. Документирайте и ескалирайте оплакванията до ICANN/абюз екипи.

• Threat intelligence sharing: споделяйте IOC и поведението на кампанията с национални CERT, доставчици на DNS защита и партньори.

За крайни потребители

• Актуализирани браузъри и плъгини.

• Не кликайте на неочаквани изскачащи прозорци и „полезни“ предложения; не предоставяйте креденшъли при фалшиви CAPTCHA/скрийн-хijack.

• Инсталирайте антималуер и EDR с поведенческа защита — особено при защита срещу инфостийлъри.

• Използвайте  защитен DNS (DoH/DoT) и блокиране на подозрителни домейни на рутери/мрежови нива.

Инфраструктурата, описана от Infoblox, демонстрира еволюцията на криминалните TDS мрежи в многоетажна, гъвкава и трудна за проследяване организация. Чрез използването на DNS като невидим команден канал и чрез разгъване върху десетки хиляди уеб хостове, операторите превръщат нормалния уеб трафик в реален бизнес риск. Ефективната защита изисква интегриран подход — DNS-филтриране, сътрудничество между хостинг/регистратори и доставчици, както и активен мониторинг от страна на организации и потребители.