文章总结： Infoblox揭露利用SittingDucks漏洞劫持废弃域名的恶意广告网络，日均欺诈百万用户。该黑产主要针对南亚，利用虚假金融与病毒警报诱导点击，虽流量巨大但盈利微薄。报告指出DNS管理疏漏是核心风险，建议组织及时清理废弃域名记录以防范劫持。 综合评分： 81 文章分类： 威胁情报,漏洞分析,网络安全,安全运营

全球恶意广告劫持DNS漏洞，日均欺诈百万用户

FreeBuf

2026年1月20日 18:32 上海

Infoblox研究人员揭露了一个庞大的欺诈性推送通知网络，展示了薄弱的DNS管理规范与”坐以待毙”（Sitting Ducks）漏洞如何助长全球欺诈广告生态。最新报告详细记录了研究团队如何”黑吃黑”——通过控制被遗弃的域名来监听数百万条恶意通知。

Part01

漏洞利用与域名劫持

调查始于名为”坐以待毙”的攻击漏洞，威胁行为者通过认领已被原所有者放弃但仍保持活跃DNS委派的域名来实施攻击。Infoblox研究人员发现，某大型推送通知运营商遗留了大量存在此漏洞的域名。

“我们采用DNS技术，通过在DNS提供商处简单认领就控制了被威胁行为者遗弃的域名…这并非中间人（AiTM）攻击，我们实际上是从侧面介入了威胁行为者的运营。”研究人员解释道。

Part02

海量数据收集与分析

注册这些被忽视的域名后，研究人员被动接收了大量仍试图连接攻击者基础设施的受害设备流量。”一天之内，我们的收集范围从一个域名扩展到近120个，”报告指出，”数千台受害设备连接到我们的服务器，每秒产生30MB的日志数据。”

两周内收集的5700多万条日志数据，揭示了一个旨在用欺诈诱饵轰炸用户的自动化运营体系。受害者主要为Android Chrome用户，平均每天收到140条通知。

Part03

全球分布与欺诈手法

虽然活动覆盖全球60多种语言，但目标明显偏向南亚地区。”孟加拉国、印度、印尼和巴基斯坦占全部流量的50%，”分析显示。

这些通知内容极具欺骗性，利用恐惧、贪婪和”点击诱饵”诱骗用户。”通知主题运用欺骗、恐惧和希望诱导用户点击链接，包括冒充Bradesco、Sparkasse、Recibiste、万事达卡、Touch ‘n Go和GCash等正规金融服务。”

其他诱饵更具掠夺性，包括虚假病毒警报（”您的设备已被入侵”）、涉及埃隆·马斯克等公众人物的捏造新闻丑闻，以及成人内容诈骗链接。

Part04

低效却持续的黑产运营

尽管垃圾信息数量庞大，该运营的盈利能力却出奇低下。研究人员估计，攻击者从观测流量中每日仅获利约350美元。点击率（CTR）更是惨淡，平均仅为六万分之一。

“其目标并非向更可能参与的用户投放广告，而是试图欺骗人们…让广告商网站流量看似增长，”报告指出。

Part05

DNS管理的重要警示

这项研究不仅揭示了联盟欺诈广告的阴暗世界，也为基础设施管理敲响警钟。”坐以待毙”漏洞仍是攻击者的有力工具，使其能够劫持合法声誉用于恶意目的。

“虽然我们’解救’了这些恶意域名，但其他恶意行为者每天都在使用相同技术从合法组织获取休眠域名。”研究人员强调，这不仅关乎诈骗者，合法组织若未能清理DNS记录同样面临风险。

报告总结道：”从技术上讲，DNS管理是域名所有者的责任。这就像有人把玩具遗落在人行道上，被别人捡走了。这该怪谁呢？”

参考来源：

Sitting Ducks and Scammy Notifications: Inside a Global Malvertising Operation

Sitting Ducks and Scammy Notifications: Inside a Global Malvertising Operation

#

#

#

推荐阅读

#

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《全球恶意广告劫持DNS漏洞，日均欺诈百万用户》