קמפיין פישינג חדש משתמש ברשומות TXT בDNS לצרכי ניתוב דפדפן המשתמש

קמפיין דואר זבל פיננסי עם קבצים מצורפים של HTML התגלה, אשר משתמש בפתרון DNS הציבורי של Google כדי לאחזר פקודות JavaScript המשובצות ברשומת TXT של הדומיין. פקודות אלה ינתבו מחדש את הדפדפן של המשתמש לאתר פרסום זדוני. מקור: bleepingcomputer .

על פי MyOnlineSecurity.com, שגילה את הקמפיין הזה, הוא מתמקד באנשים בבריטניה, וכתובות ה- IP המשויכות שימשו בעבר את הBotnet של Necurs. משתמשים מחוץ לבריטניה, יראו דפים ריקים או דפים המציגים הודעת טעינה. החלק המעניין של מסע הפישינג הוא כיצד התוקפים משתמשים ברשומות TXT של DNS כדי להגיד לקובץ הHTML לאיזה דף יש להפנות מחדש את המשתמש.

השימוש בפתרון ה- DNS של Google הוא שהמידע יוחזר כ- JSON, מה שמקל על הסקריפט הזדוני לחלץ את הנתונים הדרושים לו.