Hack Alerta

Pesquisadores assumem domínio de rede de push maliciosa

Por Redação Hack Alerta Publicado em 19/01/2026 08:02 Riscos e Ameaças Tempo de leitura: 3 min

Pesquisadores da Infoblox exploraram uma delegação de nameserver mal configurada para reclamar um domínio usado por uma rede de push maliciosa. Ao redirecionar o tráfego, capturaram dezenas de milhões de logs que detalham notificações, lures e comportamento de cliques em milhares de navegadores.

Uma investigação publicada pela Cyber Security News descreve como pesquisadores da Infoblox aproveitaram uma delegação de nameserver mal configurada para redirecionar e observar uma rede comercial de push notifications maliciosas que afetava navegadores Android.

Resumo da investigação

Os operadores daquela rede abusavam de permissões de notificação do navegador para enviar alertas falsos, lures de jogos e conteúdo adulto. Quando um domínio da infraestrutura deixou de resolver, os pesquisadores notaram que dispositivos continuavam recebendo notificações — um sinal de que a delegação DNS estava errada, deixando o domínio em um estado de "lame delegation".

Como os pesquisadores obtiveram visibilidade

Ao reivindicar legitimamente o domínio no provedor DNS, a equipe passou a receber o tráfego de push e as requisições de tracking enviadas pelos navegadores comprometidos. Sem tocar nos dispositivos das vítimas nem nos servidores originais dos atacantes, os pesquisadores capturaram logs JSON com dados sobre dispositivo, idioma, texto das iscas e comportamento de cliques.

Escopo dos dados coletados

Nos dias seguintes, milhares de navegadores se conectaram ao servidor dos pesquisadores, gerando dezenas de milhões de registros que evidenciaram uso extensivo de impersonação de marcas e táticas de scareware para gerar cliques. A análise mostrou que um usuário típico poderia receber mais de cem notificações por dia durante meses.

Vetor técnico de persistência

O fluxo de infecção começava com visitas a sites comprometidos ou de baixa reputação que pediam permissão para enviar notificações, muitas vezes misturadas a banners de cookies ou prompts falsos de captcha. Ao conceder permissão, o site instalava um service worker que funcionava como agente em segundo plano, mantendo a assinatura ativa e buscando atualizações no servidor de push dos atacantes.

Implicações e lições

  • As permissões de notificações e service workers podem ser abusadas para obter persistência sem arquivos tradicionais — um vetor difícil de mitigar apenas com AV/EDR.
  • Boa higiene de DNS e rigor na gestão de delegações impediria que operadores perdessem controle de domínios e que pesquisadores precisassem assumir domínios para investigação.
  • Organizações de navegação e administradores de rede devem considerar políticas de bloqueio/controle para sites que solicitem notificações em massa e usar filtros de DNS para mitigar o alcance dessas redes.

O que não está claro

A matéria não informa se houve ações legais subsequentes contra os operadores, nem descreve indicadores de comprometimento disponibilizados publicamente pela Infoblox no momento do relato.

Baseado em publicação original de Cyber Security News
Tags: #dns #push-notifications #infoblox #service-worker #ad-fraud #android #delegation #logs
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar