Badacze z firmy Kaspersky wykryli ponad tysiąc nieaktywnych domen, które przekierowują odwiedzających na niechciane adresy URL w celu generowania zysków dla cyberprzestępców. Wiele spośród tych stron zostało zidentyfikowanych jako szkodliwe. Tego rodzaju domeny są wystawione na sprzedaż na jednej z największych na świecie i najstarszych aukcji domen.
Gdy firmy przestają płacić za swoją domenę, niekiedy zostaje ona wykupiona przez obsługujący ją serwis i wystawiona na sprzedaż na stronie aukcyjnej. Osoby próbujące odwiedzić nieaktywną stronę są przekierowywane do zasobu, w którym mogą zobaczyć, że dana domena jest wystawiona na sprzedaż – a przynajmniej tak powinno być. Jednak poprzez zastąpienie tego zasobu czymś innym – tj. szkodliwym odnośnikiem – oszuści mogą podstępnie infekować potencjalne ofiary lub generować zyski kosztem użytkowników.
Badając pomocnicze narzędzie dla popularnej gry online, badacze z firmy Kaspersky odkryli, że aplikacja próbuje przekierować ich na niechciany adres URL. Okazało się, że był on wystawiony na sprzedaż na jednej z najstarszych na świecie i największych stron aukcyjnych z domenami. Jednak zamiast przekierowywać do właściwej strony, która wyświetla domenę dostępną na sprzedaż, kolejne przekierowanie przenosiło użytkowników na niechcianą stronę.
W wyniku dalszej analizy zidentyfikowano około 1 000 stron internetowych wystawionych na sprzedaż na tej samej platformie aukcyjnej. W drugim etapie przekierowywania te 1 000 stron przenosiło użytkowników na ponad 2 500 niechcianych adresów URL. Wiele z nich pobiera trojana Shlayer – rozpowszechnione zagrożenie dla systemu macOS, które instaluje na zainfekowanych urządzeniach złośliwe oprogramowanie reklamowe (adware) i jest rozprzestrzeniane za pośrednictwem stron internetowych ze szkodliwą zawartością.
W okresie marzec 2019 r. – luty 2020 r. 89 proc. takich przekierowań dotyczyło stron związanych z reklamami, a 11 proc. miało charakter szkodliwy: użytkownicy byli nakłaniani do zainstalowania złośliwego oprogramowania lub pobrania zainfekowanych dokumentów pakietu MS Office oraz PDF. W niektórych przypadkach same strony zawierały szkodliwy kod.
Według ekspertów motyw tego wielopoziomowego podstępu mógł mieć charakter finansowy: oszuści otrzymywali przychody z napędzania ruchu na stronach internetowych – zarówno na takich, które stanowią legalne strony reklamowe, jak i na szkodliwych zasobach. Zjawisko to znane jest jako malvertising. Jedna ze zidentyfikowanych szkodliwych stron odnotowała na przykład średnio 600 przekierowań w ciągu zaledwie dziesięciu dni – cyberprzestępcy otrzymują najprawdopodobniej wynagrodzenie uzależnione od liczby odwiedzin. W przypadku trojana Shlayer osobom rozprzestrzeniającym tego szkodnika płacono od każdej instalacji na urządzeniu.
Niestety użytkownicy niewiele mogą zrobić, aby uniknąć przekierowania na szkodliwą stronę. Domeny, na których znajdują się takie przekierowania, stanowiły kiedyś legalne zasoby, być może w przeszłości często odwiedzane przez użytkowników. W żaden sposób nie można stwierdzić, czy teraz kierują one na strony pobierające szkodliwe oprogramowanie. Problem komplikuje dodatkowo to, że nie w każdym przypadku użytkownik wyląduje na szkodliwej stronie: jeśli pewnego dnia wejdziesz na daną stronę z kraju, w którym się znajdujesz, nic się nie wydarzy. Jeśli natomiast spróbujesz uzyskać do niej dostęp za pośrednictwem VPN-a, możesz zostać przekierowany na stronę, która pobiera trojana Shlayer. Ogólnie tego rodzaju malvertising jest złożonym zjawiskiem, co utrudnia pełne wykrycie oszustw, dlatego najlepszą ochroną jest posiadanie na swoim urządzeniu wszechstronnego rozwiązania bezpieczeństwa – powiedział Dmitrij Kondratiew, analityk ds. szkodliwego oprogramowania.
Szczegóły techniczne dotyczące omawianego oszustwa są dostępne na stronie https://r.kaspersky.pl/Wr6KA.