Siber Suçlular Go Daddy Sitelerinin DNS Kayıtlarına Saldırıyor

Siber Suçlular Go Daddy Sitelerinin DNS Kayıtlarına Saldırıyor

Siber suçlular “ransomware” parçalarını yaymak için akıllıca bir yol keşfetti. “Ransomware”, bilgisayar kullanıcılarından, onların cihazlarının kontrolünü ya da cihazda depolanan dosyaları ele geçirerek para koparmaya çalışan bir zararlı yazılım türüdür. Buna “fidye aracı” adı da verilebilir. Bu siber suçlular, ziyaretçileri kendi kötü amaçlı sitelerine yönlendirmek amacıyla Go Daddy tarafından barındırılan web sitelerinin DNS kayıtlarını “hack”liyorlar.

DNS (Domain Name System-Alan Adı Sistemi) web sitelerine, onların IP’lerini yazmak yerine isimlerini yazarak erişmemize olanak verir. Böyle bir sistem olmasaydı, bir siteye erişmek istediğimizde http://google.com yerine http:// 64.233.160.1/ gibi bir şey yazmak zorunda kalabilirdik.

Sophos adlı güvenlik şirketinin araştırmacılarına göre, dolandırıcılar, web sitelerinin DNS kayıtlarına kendi IP adreslerini ekleyerek bu sistemi suistimal ediyorlar.

DNS girdileri ile eşleşen ve kötü amaçlı IP’lere gönderen birkaç alt alan adı ekleyen saldırganlar, güvenlik filtresini aşıyorlar ve kullanıcıları yasal bir sitede olduklarına inandırarak kandırıyorlar.

Bu özel durumlarda kullanıcıların yönlendirildiği sahte sunucular, Cool EK adlı, BlackHole’e benzeyen bir yararlanma aracı barındırıyor.

Bu yararlanma aracı, “fidye aracı”nı bulaştırmak için hedef sistemdeki açıkları arar. “Fidye aracı” yani “ransomware”in kendisi sıradan değildir. Bu araç, kurbanların bilgisayar ekranlarını kilitler ve onlara, yasal içeriği indirebilmeleri için, bir emniyet teşkilatına (ya da konuma bağlı olarak başa bir yere) para ödemeleri gerektiğini bildirir.

Dolandırıcılar, her şeyin yasal görünümlü olması için kullanıcının kamerasından video yakalama taklidi yapan bir animasyonlu GIF dosyası kullanıyor.

Ne yazık ki, uzmanlar, saldırganların çalınan hesap bilgilerini kullanıp kullanmadığını belirleyemiyorlar. Çünkü Go Daddy; “webmaster”ların, giriş hareketleri geçmişini görüntülemesine izin vermediği gibi, bu tür bilgilerden vazgeçmek için çok da istekli değil. 

Kendi sitelerine bu şekilde bir saldırı yapıldığından şüphelenen web sitesi sahiplerine parolalarını değiştirmeleri öneriliyor. Bunun yanı sıra şüpheli girişlerin eklenip eklenmediğini görmek için DNS yapılandırmalarını kontrol edebilirler.

YORUMLAR