Zostaw komentarz
Badacze z firmy Kaspersky wykryli ponad tysiąc nieaktywnych domen, które przekierowują odwiedzających na niechciane adresy URL w celu generowania zysków dla cyberprzestępców. Wiele spośród tych stron zostało zidentyfikowanych jako szkodliwe. Tego rodzaju domeny są wystawione na sprzedaż na jednej z największych na świecie i najstarszych aukcji domen.
Gdy firmy przestają płacić za swoją domenę, niekiedy zostaje ona wykupiona przez obsługujący ją serwis i wystawiona na sprzedaż na stronie aukcyjnej. Osoby próbujące odwiedzić nieaktywną stronę są przekierowywane do zasobu, w którym mogą zobaczyć, że dana domena jest wystawiona na sprzedaż – a przynajmniej tak powinno być. Jednak poprzez zastąpienie tego zasobu czymś innym – tj. szkodliwym odnośnikiem – oszuści mogą podstępnie infekować potencjalne ofiary lub generować zyski kosztem użytkowników.
Badając pomocnicze narzędzie dla popularnej gry online, badacze z firmy Kaspersky odkryli, że aplikacja próbuje przekierować ich na niechciany adres URL. Okazało się, że był on wystawiony na sprzedaż na jednej z najstarszych na świecie i największych stron aukcyjnych z domenami. Jednak zamiast przekierowywać do właściwej strony, która wyświetla domenę dostępną na sprzedaż, kolejne przekierowanie przenosiło użytkowników na niechcianą stronę.
W wyniku dalszej analizy zidentyfikowano około 1 000 stron internetowych wystawionych na sprzedaż na tej samej platformie aukcyjnej. W drugim etapie przekierowywania te 1 000 stron przenosiło użytkowników na ponad 2 500 niechcianych adresów URL. Wiele z nich pobiera trojana Shlayer – rozpowszechnione zagrożenie dla systemu macOS, które instaluje na zainfekowanych urządzeniach złośliwe oprogramowanie reklamowe (adware) i jest rozprzestrzeniane za pośrednictwem stron internetowych ze szkodliwą zawartością.
W okresie marzec 2019 r. – luty 2020 r. 89 proc. takich przekierowań dotyczyło stron związanych z reklamami, a 11 proc. miało charakter szkodliwy: użytkownicy byli nakłaniani do zainstalowania złośliwego oprogramowania lub pobrania zainfekowanych dokumentów pakietu MS Office oraz PDF. W niektórych przypadkach same strony zawierały szkodliwy kod.
Według ekspertów motyw tego wielopoziomowego podstępu mógł mieć charakter finansowy: oszuści otrzymywali przychody z napędzania ruchu na stronach internetowych – zarówno na takich, które stanowią legalne strony reklamowe, jak i na szkodliwych zasobach. Zjawisko to znane jest jako malvertising. Jedna ze zidentyfikowanych szkodliwych stron odnotowała na przykład średnio 600 przekierowań w ciągu zaledwie dziesięciu dni – cyberprzestępcy otrzymują najprawdopodobniej wynagrodzenie uzależnione od liczby odwiedzin. W przypadku trojana Shlayer osobom rozprzestrzeniającym tego szkodnika płacono od każdej instalacji na urządzeniu.