کمپین جدید اسپم از طریق رکورد های DNS تکست توسط مهاجمان کنترل میشود

یک کمپین مالی جدید با ضمیمه ی HTML کشف شده است که از دی ان اس سرور عمومی گوگل استفاده میکند تا فرمان های جاوا اسکریپت را در قالب رکورد های دامین جایگذاری شده قرار بدهد. این فرمان ها سپس مرورگر یک کاربر را به سمت سایت های شرط بندی و تبلیغاتی منتهی میکند که به عنوان اسپم شناسایی میشود.

طبق سایت myonlinesecurity.com که این کمپین را کشف کرد، این روال بر مردم انگلستان تاثیرگذار است و آدرس آی پی های اختصاصی اخیرا توسط بات نت های نکروس تغییر یافته است.

کمپین اسپم

ایمیل های اسپم با موضوع «دریافت شد» میباشد و عنوان میکند که یک فاکتور رسمی برای خرید اخیر قربانی میباشد. این فایل ضمیمه شده یک فایل html با نامی همچون invoice-Bo75.html میباشد.

Scam Email

زمانی که ضمیمه های مربوط به html باز میشوند. کاربران انگلیسی را به یک درگاه اسپم و نا امن https://appteslerapp.com/ وصل میشوند. این صفحه عنوان میکند که شما میتوانید به درآمدی نزدیک به 237 دلار در ساعت برسید و لازمه ی آن تست 5 دقیقه ای این نرم افزار میباشد.

Scam Landing Page

کاربران خارج از انگلستان، صفحه ی خالی را مشاهده میکنند.

استفاده از رکورد های dns txt برای تغییر مسیر کاربران

در حالی که بسیار مهم است که از یک پویش خطرناک برای مقابله با آن اطلاع داشت، نکته ی مهم این پویش این است که مهاجمین از رکورد های dns txt برای منتهی کردن کاربران به صفحات آلوده استفاده میکنند. زمانی که به کد های منبع html ضمیمه شده نگاه میکنیم میتوانید یک فایل جاوا اسکریپت مبهم را مشاهده کنید. این جاوا اسکریپت ضامنی برای ارسال درخواست به درگاه https://accounts.google.com/o/oauth2/revoke?callback=ccc() میباشد و باعث میشود که عملکرد ccc() در رابطه با اسکریپت آلوده فعال شود.

HTML attachment source

همانطور که در تصویر بالا مشاهده میکنید. این اسکریپت شمال کد های پایه 64 بیتی میباشد.

var v = window.atob("aHR0cHM6Ly9kbnMuZ29vZ2xlLmNvbS9yZXNvbHZlP25hbWU9ZmV0Y2gudnhwYXB1Yi5vdXJtYXpkY29tcGFueS5uZXQmdHlwZT1UWFQ=");

پس از دیکودینگ، این آدرس به سمت دی ان اس عمومی گوگل منتهی میشود و برای یک دامنه مشخص انجام میشود. به طور مثال: زنجیره ی بالا به آدرس زیر تغییر میکند:

https://dns.google.com/resolve?name=fetch.vxpapub.ourmazdcompany.net&type=TXT

اسکریپت فایل ضمیمه شده از این آدرس برای دریافت رکورد های مربوط به دامنه استفاده میکند. Txt record یک ورودی dns است که میتواند برای ذخیره سازی اطلاعات متنی استفاده شود. این فیلد معمولا برای SPF یا رکورد های DMARC استفاده میشود ولی میتواند میزبان دریافت هرگونه محتوای نوشتاری باشد.

این قسمت جالب راجع به استفاده از پردازش DNS گوگل این است که اطلاعات در قالب فرمتی JSON بازمیگردد که برای استخراج اطلاعاتی که نیاز دارد بسیار راحت تر است.

   "Status":0,
   "TC":false,
   "RD":true,
   "RA":true,
   "AD":false,
   "CD":false,
   "Question":[  
      {  
         "name":"fetch.vxpapub.ourmazdcompany.net.",
         "type":16
      }
   ],
   "Answer":[  
      {  
         "name":"fetch.vxpapub.ourmazdcompany.net.",
         "type":16,
         "TTL":119,
         "data":"\"window.location.replace(\"http://www.92458bfg36abp.euxjouernui.icu/52388.html\");\""
      }
   ],
   "Comment":"Response from ns1.firstdnshoster.com.(104.193.252.177)."
}

هر زمانی که شما dns.google.com را رفرش کنید. یک آدرس متفاوت دیگر ری دایرکت میشود

مثل همیشه، مراقب ایمیل هایی که حاوی فایل های ضمیمه شده در قالب صورت حساب و فاکتور هستند باشید. مگر اینکه مطمئن هستید چه کسی آن را ارسال کرده است ولی معمولا این فایل ها محتوای آلوده برای آلوده کردن سیستم شما با ویروس هستند.

منبع: www.bleepingcomputer.com