Qeydiyyatsız domen boşluğu 25 mindən çox sistemi risk altına salıb

Tədqiqatçılar ilkin baxışda reklam yönümlü arzuolunmaz proqram təminatı kimi görünən bir təhlükənin əslində daha mürəkkəb və ciddi risk yaratdığını müəyyən ediblər. Araşdırma nəticəsində məlum olub ki, cəmi 10 ABŞ dollarına qeydiyyata alına biləcək bir domen dünya üzrə 25 mindən çox komprometasiya olunmuş endpoint (son nöqtə) üzərində gizli nəzarət imkanı verə bilərdi.

Araşdırmanın mərkəzində dayanan proqram təminatı özünü Birləşmiş Ərəb Əmirliklərində yerləşən axtarış monetizasiyası üzrə tədqiqat şirkəti kimi təqdim edən Dragon Boss Solutions tərəfindən imzalanıb. Sözügedən proqram uzun müddət brauzer hijacking imkanlarına malik “potensial arzuolunmaz proqram” (PUP) kimi qiymətləndirilsə də, araşdırmalar onun zamanla daha təhlükəli xarakter aldığını göstərib.

Bildirilir ki, 2025-ci ilin mart ayından etibarən bu proqram yüksək səlahiyyətlərlə işləyən PowerShell əsaslı faydalı yüklərdən (payload) istifadə etməyə başlayıb. Həmin yüklər kibertəhlükəsizlik məhsullarını deaktiv edir, onların yeniləmə serverlərini bloklayır və yenidən quraşdırılmasının qarşısını alır.

Zərərli fəaliyyətin sistemdə davamlılığını təmin etmək üçün proqram yenidən başladıldıqdan sonra da aktiv qala bilən beş planlaşdırılmış tapşırıq və WMI event subscription mexanizmlərindən istifadə edir. Bundan əlavə, gələcək faydalı yüklərin yerləşdirilməsi üçün istifadə olunan qovluqlar Windows Defender istisnalar siyahısına əlavə olunur. Tədqiqatçılara görə həmin faydalı yüklər kriptomaynerlər, ransomware nümunələri və ya məlumat oğurlayan zərərvericilər ola bilər.

Araşdırma çərçivəsində ən narahatedici məqam proqramın yenilənmə konfiqurasiyasında (update configuration) aşkarlanıb. Faydalı yüklərin yenilənməsini çatdırmaq üçün istifadə olunan əsas domen chromsterabrowser[.]com qeydiyyata alınmamış vəziyyətdə olub. Bu isə o demək idi ki, həmin domeni satın alan istənilən şəxs artıq antivirus müdafiəsi söndürülmüş və yoluxmuş sistemlərə əlavə istismar mərhələsinə ehtiyac olmadan ixtiyari kod göndərə bilərdi.

Tədqiqatçılar domeni başqa şəxslərdən əvvəl qeydiyyata alaraq onu sinkhole infrastrukturuna yönləndirib və daxil olan sorğuları izləyib. Nəticədə, real iş mühitlərində yerləşən və yenilənmə təlimatları almağa çalışan təxminən 25 min unikal IP ünvanı həmin domenlə əlaqə yaradıb.

Müşahidələrə əsasən yoluxmalar 124 ölkəni əhatə edib. Xüsusilə yüksək dəyərli hədəflər arasında yoluxmanın miqyası daha ciddi narahatlıq doğurub. Müşahidə olunan hostlardan 324-ü həssas şəbəkələrə aid olub. Bunların arasında 221 universitet və kollec, 41 əməliyyat texnologiyası (OT) şəbəkəsi, 35 dövlət qurumu və 3 səhiyyə təşkilatı yer alıb. Həmçinin təsirlənmiş şəbəkələr arasında bir neçəsinin Fortune 500 şirkətinə aid olduğu da qeyd olunur.