Множество злоумышленников годами использовали метод атаки под названием «Подсадные утки» для захвата законных доменов и их использования в фишинговых атаках и инвестиционных мошенничествах. За последние три месяца компания Infoblox выявила почти 800 000 уязвимых доменов, из которых 9% были взломаны.
Этот вектор атаки, задокументированный в 2016 году исследователем Мэтью Брайантом, позволяет злоумышленнику получить контроль над доменом через неправильные настройки DNS. Для этого необходимо, чтобы зарегистрированный домен делегировал полномочия по обслуживанию DNS другому провайдеру, и делегирование было неполным.
Среди пострадавших доменов — известные бренды, некоммерческие организации и государственные учреждения. Злоумышленники изменяют позиционирование бренда и используют тот факт, что инструменты безопасности могут не распознать их действия.
Количество доменов настолько велико, что попытки использовать изменения IP-адресов для выявления вредоносной активности неэффективны. Infoblox сообщает о ротации доменов, когда один домен захватывается разными злоумышленниками.
Infoblox выявила несколько известных субъектов угроз DNS, таких как Vacant Viper, Ужасный Ястреб и Hasty Hawk, которые используют захваченные домены для рассылки спама, фишинга и мошеннических схем.
Infoblox также сообщила, что некоторые злоумышленники используют захваченные домены для управления вредоносным ПО. Захваченные домены могут использоваться для рассылки спама или для эксфильтрации данных через почтовые сервисы.
Злоумышленники часто захватывают домены на срок от 30 до 60 дней, а затем передают их другим злоумышленникам или блокируют.