أخبار التقنية

تدمج مجموعة Hacker اختطاف DNS في حملتها على مواقع الويب الضارة


تكبير / مفهوم اختطاف DNS.

كشف باحثون عن تطبيق Android ضار يمكنه العبث بالموجه اللاسلكي الذي يتصل به الهاتف المصاب وإجبار جهاز التوجيه على إرسال جميع أجهزة الشبكة إلى المواقع الضارة.

يستخدم التطبيق الضار ، الذي عثر عليه Kaspersky ، تقنية تعرف باسم اختطاف DNS (نظام أسماء المجالات). بمجرد تثبيت التطبيق ، فإنه يتصل بجهاز التوجيه ويحاول تسجيل الدخول إلى حسابه الإداري باستخدام بيانات اعتماد افتراضية أو شائعة الاستخدام ، مثل admin: admin. عند النجاح ، يقوم التطبيق بعد ذلك بتغيير خادم DNS إلى خادم ضار يتحكم فيه المهاجمون. من الآن فصاعدًا ، يمكن توجيه الأجهزة الموجودة على الشبكة إلى المواقع المخادعة التي تحاكي المواقع الشرعية ولكنها تنشر البرامج الضارة أو تسجل بيانات اعتماد المستخدم أو غيرها من المعلومات الحساسة.

قادرة على الانتشار على نطاق واسع

كتب باحثو كاسبرسكي: “نعتقد أن اكتشاف تطبيق مغير DNS الجديد هذا مهم جدًا من حيث الأمان”. “يمكن للمهاجم استخدامه لإدارة جميع الاتصالات من الأجهزة باستخدام موجه Wi-Fi مخترق مع إعدادات DNS الخادعة.”

وتابع الباحثون: “يقوم المستخدمون بتوصيل أجهزة Android المصابة بشبكة Wi-Fi عامة / مجانية في أماكن مثل المقاهي والحانات والمكتبات والفنادق ومراكز التسوق والمطارات. عند الاتصال بنموذج Wi-Fi مستهدف بإعدادات ضعيفة ، فإن برنامج Android الضار سوف يضر بجهاز التوجيه ويؤثر على الأجهزة الأخرى أيضًا. ونتيجة لذلك ، فهي قادرة على الانتشار على نطاق واسع في المناطق المستهدفة “.

DNS هو الآلية التي تطابق اسم مجال مثل ArsTechnica.com مع 18.188.231.255 ، عنوان IP الرقمي حيث يتم استضافة الموقع. يتم إجراء عمليات بحث DNS بواسطة خوادم يديرها مزود خدمة الإنترنت للمستخدم أو خدمات من شركات مثل Cloudflare أو Google. من خلال تغيير عنوان خادم DNS في اللوحة الإدارية لجهاز التوجيه من عنوان شرعي إلى آخر ضار ، يمكن للمهاجمين أن يتسببوا في تلقي جميع الأجهزة المتصلة بالموجه لعمليات بحث عن مجال ضارة تؤدي إلى مواقع شبيهة تستخدم للجرائم الإلكترونية.

يُعرف تطبيق Android باسم Wroba.o ، وهو مستخدم منذ سنوات في بلدان مختلفة ، بما في ذلك الولايات المتحدة وفرنسا واليابان وألمانيا وتايوان وتركيا. من الغريب أن تقنية اختطاف DNS التي يمكن للبرامج الضارة استخدامها يتم استخدامها بشكل حصري تقريبًا في كوريا الجنوبية. من عام 2019 إلى معظم عام 2022 ، استدرج المهاجمون أهدافًا إلى مواقع خبيثة تم إرسالها عبر الرسائل النصية ، وهي تقنية تُعرف باسم smishing. في أواخر العام الماضي ، قام المهاجمون بدمج اختطاف DNS في أنشطتهم في تلك الدولة الآسيوية.

تدفق العدوى مع الاستيلاء على DNS والرسائل النصية القصيرة.
تكبير / تدفق العدوى مع الاستيلاء على DNS والرسائل النصية القصيرة.

صمم المهاجمون ، المعروفون في صناعة الأمن باسم Roaming Mantis ، اختطاف DNS للعمل فقط عندما تزور الأجهزة نسخة الهاتف المحمول من موقع ويب مخادع ، على الأرجح لضمان عدم اكتشاف الحملة.

في حين أن التهديد خطير ، إلا أن له عيبًا كبيرًا – HTTPS. تقوم شهادات أمان طبقة النقل (TLS) التي تعمل كأساس لـ HTTPS بربط اسم مجال مثل ArsTechnica.com بمفتاح تشفير خاص معروف فقط لمشغل الموقع. سيتلقى الأشخاص الذين يتم توجيههم إلى موقع ضار يتنكر في هيئة Ars Technica باستخدام متصفح حديث تحذيرات بأن الاتصال غير آمن أو سيُطلب منهم الموافقة على شهادة موقعة ذاتيًا ، وهي ممارسة يجب ألا يتبعها المستخدمون أبدًا.

هناك طريقة أخرى لمكافحة التهديد وهي التأكد من تغيير كلمة المرور التي تحمي الحساب الإداري لجهاز التوجيه من الافتراضي إلى الحساب القوي.

ومع ذلك ، ليس كل شخص على دراية بأفضل هذه الممارسات ، مما يتركهم مفتوحين لزيارة موقع ضار يبدو مطابقًا تقريبًا للموقع الشرعي الذي يعتزمون الوصول إليه.

ذكر تقرير يوم الخميس أن “المستخدمين الذين لديهم أجهزة Android المصابة التي تتصل بشبكات Wi-Fi العامة أو المجانية قد ينشرون البرامج الضارة إلى أجهزة أخرى على الشبكة إذا كانت شبكة Wi-Fi التي يتصلون بها ضعيفة”. “خبراء Kaspersky قلقون بشأن إمكانية استخدام مبدل DNS لاستهداف مناطق أخرى والتسبب في مشكلات كبيرة.

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى