文章总结： Infoblox研究人员揭示了坐以待毙DNS漏洞，攻击者利用被遗弃但仍有活跃DNS委派的域名实施欺诈广告劫持。团队通过接管域名观测到数千万条恶意通知，主要针对南亚用户利用恐惧诱导点击。尽管盈利微薄，该研究警示企业必须严格管理DNS记录，及时清理废弃域名的委派配置以防范安全风险。 综合评分： 85 文章分类： 漏洞分析,威胁情报,网络安全,安全意识

【安全圈】全球恶意广告劫持DNS漏洞，日均欺诈百万用户

安全圈

2026年1月19日 19:00 江苏

关键词

DNS劫持

Infoblox研究人员揭露了一个庞大的欺诈性推送通知网络，展示了薄弱的DNS管理规范与”坐以待毙”（Sitting Ducks）漏洞如何助长全球欺诈广告生态。最新报告详细记录了研究团队如何”黑吃黑”——通过控制被遗弃的域名来监听数百万条恶意通知。

漏洞利用与域名劫持

调查始于名为”坐以待毙”的攻击漏洞，威胁行为者通过认领已被原所有者放弃但仍保持活跃DNS委派的域名来实施攻击。Infoblox研究人员发现，某大型推送通知运营商遗留了大量存在此漏洞的域名。

“我们采用DNS技术，通过在DNS提供商处简单认领就控制了被威胁行为者遗弃的域名…这并非中间人（AiTM）攻击，我们实际上是从侧面介入了威胁行为者的运营。”研究人员解释道。

海量数据收集与分析

注册这些被忽视的域名后，研究人员被动接收了大量仍试图连接攻击者基础设施的受害设备流量。”一天之内，我们的收集范围从一个域名扩展到近120个，”报告指出，”数千台受害设备连接到我们的服务器，每秒产生30MB的日志数据。”

两周内收集的5700多万条日志数据，揭示了一个旨在用欺诈诱饵轰炸用户的自动化运营体系。受害者主要为Android Chrome用户，平均每天收到140条通知。

全球分布与欺诈手法

虽然活动覆盖全球60多种语言，但目标明显偏向南亚地区。”孟加拉国、印度、印尼和巴基斯坦占全部流量的50%，”分析显示。

这些通知内容极具欺骗性，利用恐惧、贪婪和”点击诱饵”诱骗用户。”通知主题运用欺骗、恐惧和希望诱导用户点击链接，包括冒充Bradesco、Sparkasse、Recibiste、万事达卡、Touch ‘n Go和GCash等正规金融服务。”

其他诱饵更具掠夺性，包括虚假病毒警报（”您的设备已被入侵”）、涉及埃隆·马斯克等公众人物的捏造新闻丑闻，以及成人内容诈骗链接。

低效却持续的黑产运营

尽管垃圾信息数量庞大，该运营的盈利能力却出奇低下。研究人员估计，攻击者从观测流量中每日仅获利约350美元。点击率（CTR）更是惨淡，平均仅为六万分之一。

“其目标并非向更可能参与的用户投放广告，而是试图欺骗人们…让广告商网站流量看似增长，”报告指出。

DNS管理的重要警示

这项研究不仅揭示了联盟欺诈广告的阴暗世界，也为基础设施管理敲响警钟。”坐以待毙”漏洞仍是攻击者的有力工具，使其能够劫持合法声誉用于恶意目的。

“虽然我们’解救’了这些恶意域名，但其他恶意行为者每天都在使用相同技术从合法组织获取休眠域名。”研究人员强调，这不仅关乎诈骗者，合法组织若未能清理DNS记录同样面临风险。

报告总结道：”从技术上讲，DNS管理是域名所有者的责任。这就像有人把玩具遗落在人行道上，被别人捡走了。这该怪谁呢？”

END

阅读推荐

【安全圈】入侵网站盗数据、跨境牟利触法网！两名犯罪嫌疑人被云南网警抓获

【安全圈】潜伏 5 年、装机量超 84 万！这款浏览器恶意插件竟靠一张图片瞒天过海

【安全圈】32 万人信息遭泄露！这所大学曝重大数据窃密案，黑客潜伏近两周竟无人察觉

【安全圈】男子利用购物平台漏洞窃取用户信息并骗取佣金1878万被判刑

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】全球恶意广告劫持DNS漏洞，日均欺诈百万用户》