Site-urile inactive sunt surse de infectare prin redirecţionarea către pagini rău intenţionate

Cercetătorii Kaspersky au descoperit peste o mie de domenii inactive care, atunci când sunt vizitate, redirecționează vizitatorii către adrese URL nedorite, ca modalitate de a obține profit. Multe dintre aceste pagini din a doua categorie au fost detectate ca fiind rău intenționate.

Atunci când companiile nu mai plătesc pentru domeniul lor, uneori acestea sunt achiziționate de către un serviciu și puse la vânzare pe un site de licitație. Cei care încearcă să viziteze site-ul inactiv sunt apoi redirecționați către butonul de licitație, unde văd că în prezent, domeniul este de vânzare – sau cel puțin așa ar trebui să fie. Cu toate acestea, prin înlocuirea butonului cu altceva – de exemplu un link rău intenționat – escrocii pot crea o schemă prin care infectează utilizatorii sau generează profituri de pe urma utilizatorilor care cad în capcană.

În timp ce investigau un instrument de asistență pentru un joc online popular, cercetătorii Kaspersky au detectat o încercare a aplicației de a-i redirecționa către o adresă URL nedorită. Ulterior, s-a dovedit că această adresă URL fusese pusă la vânzare pe un site de licitații. Cu toate acestea, în loc să îi redirecționeze către site-ul corect, această a doua redirecționare transfera utilizatorii către o altă pagină suspectă.

Analiza ulterioară a descoperit aproximativ 1000 de site-uri web puse la vânzare pe diverse platforme de licitație. În a doua etapă a redirecționării, aceste 1000 de pagini au redirecționat utilizatorii către 2500 de adrese URL nedorite. Multe dintre acestea descarcă pe dispozitiv un troian numit Shlayer – o amenințare MacOS răspândită care instalează adware pe dispozitivele infectate și este distribuită de pagini web cu conținut rău intenționat.

Între martie 2019 și februarie 2020, 89% din aceste redirecționări consecutive au fost către pagini legate de anunțuri, în timp ce 11% au fost rău intenționate: utilizatorii au fost invitați să descarce documente PDF sau MS Office infectate, sau chiar paginile în sine conțineau cod rău intenționat.

Potrivit experților, raționamentul care a stat la baza acestei înșelătorii pe mai multe straturi ar putea fi de natură financiară: escrocii primesc venituri pentru a genera trafic pe unele pagini – atât pentru cele care sunt pagini de publicitate legitime, cât și pentru cele rău intenționate. Acestea din urmă sunt definiția publicității rău intenționate. Una dintre paginile dăunătoare descoperite, de exemplu, a primit în medie 600 de redirecționări în doar 10 zile – cel mai probabil atacatorii primesc o plată în funcție de numărul de vizite. În cazul Shlayer, cei care distribuie programul malware au primit bani de fiecare data când troianul a fost instalat pe un dispozitiv.

Este probabil ca înșelăciunea să fie rezultatul unor defecte în filtrarea reclamelor și în modul în care acestea afișează conținutul unei rețele terțe de publicitate.

Din păcate, utilizatorii nu pot face prea multe pentru a evita redirecționarea către o pagină rău intenționată. Domeniile care fac aceste redirecționări au fost – la un moment dat – resurse legitime, poate dintre cele pe care utilizatorii le-au vizitat frecvent în trecut. Și chiar e imposibil să îți dai seama dacă acestea transferă sau nu vizitatorii către paginile care descarcă malware. Cu atât mai mult, dacă ajungem sau nu pe un site redirecționat depinde de o serie de factori: dacă într-o zi accesați un site din Rusia, nu se va întâmpla nimic. Dacă încercați apoi să îl accesați cu un VPN, este posibil să fiți trimiși către o pagină care descarcă Shlayer. În general, schemele de publicitate de genul acesta sunt complexe, ceea ce face și mai dificil să fie descoperite în totalitate, astfel încât cea mai bună metodă de apărare este aceea de a folosi o soluție de Securitate fiabilă pe dispozitivul personal” spune Dmitry Kondratyev, Junior Malware Analyst Kaspersky.