Хакеры превращают неактивные домены в инструменты для фишинга

Опубликовано at 17:57
108 0

«Лаборатория Касперского» сообщила о нетипичной схеме, через которую злоумышленники распространяли малварь.

Для этой цели они задействовали больше тысячи неактивных доменов, которые превратили в перевалочные пункты для перенаправления пользователей на нежелательные и вредоносные сайты.

Исследователей заинтересовал феномен, когда ссылки под старыми роликами на YouTube или в статьях «Википедии» в какой-то момент становились вредоносными и начинали вести на страницы партнерских программ, фишинговые сайты или загрузку малвари.

Выявленная схема оказалась весьма интересной: если владелец домена не оплатил доменное имя, и оно было куплено с помощью сервиса, отслеживающего освобождающиеся домены, а затем выставлено на продажу на аукционной площадке, то  пользователи, которые попытаются зайти на сайт, увидят страницу-заглушку.

Но время от времени, как выяснили эксперты, посетитель, изначально заходящий на уже неработающий сайт разработчика приложения, попадал не на заглушку аукциона, а на вредоносный ресурс. Причем редирект носит весьма творческий характер: перенаправление идет на разные сайты, в том числе партнерских сетей, и его тип может меняться в зависимости от страны и User-agent (при заходе с устройства c macOS жертва имеет шанс отправиться на страницу, с которой скачивается троян­ Shlayer).

Всего за время исследования «Лаборатория Касперского» нашла около 1000 подобных страниц-заглушек, с которых перенаправления шли более чем на 2500 нежелательных сайтов.­

В период с марта 2019 года по февраль 2020 года 89% сайтов, куда переадресовывались запросы со страниц-заглушек, являлись рекламными. Остальные 11% содержали вредоносы.

Источник вредоносный редиректов не вполне ясен, но скорее всего за это отвечает модуль, демонстрирующий контент сторонней рекламной сети. Вредоносный трафик мог появиться по причине отсутствия фильтрации рекламных объявлений или использования злоумышленниками уязвимостей в рекламном модуле (или самой торговой площадке).

Читайте также на АКБ:

Lazarus соблазняют сотрудников оборонки фишинговыми офферами

Подписываемся, следим @CyberAgency

Related Post