Хакеры маскируются под доверенные сайты и используют DNS-бреши для развёртывания мошеннических платформ

Исследователи из Infoblox зафиксировали масштабную кампанию захвата доменов, инициированную злоумышленником под псевдонимом Hazy Hawk. Цель — получить контроль над поддоменами, оставленными без присмотра, и превратить их в площадки для обмана, фишинга и вредоносной рекламы.

Эксперты Infoblox уточнили, что атака начинается с поиска DNS-записей CNAME, ссылающихся на неиспользуемые облачные ресурсы. После обнаружения таких уязвимостей злоумышленник создает новый облачный сервис с тем же именем, указанным в устаревшей записи. Это позволяет перенаправить доверенный поддомен, ранее принадлежавший организациям, в собственное распоряжение.

По информации Infoblox, среди пострадавших — правительственные учреждения, ведущие университеты и корпорации из списка Fortune 500. Используя захваченные поддомены, Hazy Hawk распространяет мошеннические сервисы и фальшивые приложения, маскируя их под легитимные ресурсы.

После перехвата злоумышленник разворачивает на поддомене сотни поддельных страниц. Благодаря высокому доверию к основному домену, эти URL-адреса получают преимущество в поисковых системах, что увеличивает охват потенциальных жертв.

Далее трафик направляется через цепочку редиректов и систему TDS (Traffic Distribution System). Как пояснили в Infoblox, механизм фильтрует пользователей по множеству признаков — IP, тип устройства, использование прокси — чтобы нацелить на них конкретный вид обмана.

Среди типичных сценариев — сайты с фиктивной технической поддержкой, поддельные предупреждения о вирусах, фальшивые видеоплатформы и порнографические ресурсы. Одной из распространённых уловок становится активация push-уведомлений браузера. После этого жертвы продолжают получать агрессивные оповещения, даже покинув вредоносный сайт. Эксперты подчёркивают: этот способ может приносить Hazy Hawk стабильный поток дохода.

Infoblox отмечает, что Hazy Hawk не ограничивается разовыми атаками. Методы злоумышленника предполагают постоянное отслеживание заброшенных конфигураций DNS и автоматическое развертывание поддельной инфраструктуры. В контексте растущей цифровой угрозы этот подход представляет особую опасность, поскольку эксплуатирует доверие к крупным брендам и государственным структурам.