Ponad tysiąc wystawionych na sprzedaż domen kieruje użytkowników na niebezpieczne strony

13 lipca, 2020

Badacze z firmy Kaspersky wykryli ponad tysiąc nieaktywnych domen, które przekierowują odwiedzających na niechciane adresy URL w celu generowania zysków dla cyberprzestępców. Wiele spośród tych stron zostało zidentyfikowanych jako szkodliwe. Tego rodzaju domeny są wystawione na sprzedaż na jednej z największych na świecie i najstarszych aukcji domen.

Gdy firmy przestają płacić za swoją domenę, niekiedy zostaje ona wykupiona przez obsługujący ją serwis i wystawiona na sprzedaż na stronie aukcyjnej. Osoby próbujące odwiedzić nieaktywną stronę są przekierowywane do zasobu, w którym mogą zobaczyć, że dana domena jest wystawiona na sprzedaż – a przynajmniej tak powinno być. Jednak poprzez zastąpienie tego zasobu czymś innym – tj. szkodliwym odnośnikiem – oszuści mogą podstępnie infekować potencjalne ofiary lub generować zyski kosztem użytkowników.

malwaretising 2020

Badając pomocnicze narzędzie dla popularnej gry online, badacze z firmy Kaspersky odkryli, że aplikacja próbuje przekierować ich na niechciany adres URL. Okazało się, że był on wystawiony na sprzedaż na jednej z najstarszych na świecie i największych stron aukcyjnych z domenami. Jednak zamiast przekierowywać do właściwej strony, która wyświetla domenę dostępną na sprzedaż, kolejne przekierowanie przenosiło użytkowników na niechcianą stronę.

W wyniku dalszej analizy zidentyfikowano około 1000 stron internetowych wystawionych na sprzedaż na tej samej platformie aukcyjnej. W drugim etapie przekierowywania te 1000 stron przenosiło użytkowników na ponad 2500 niechcianych adresów URL. Wiele z nich pobiera trojana Shlayer – rozpowszechnione zagrożenie dla systemu macOS, które instaluje na zainfekowanych urządzeniach złośliwe oprogramowanie reklamowe (adware) i jest rozprzestrzeniane za pośrednictwem stron internetowych ze szkodliwą zawartością.

W okresie marzec 2019 r. – luty 2020 r. 89 proc. takich przekierowań dotyczyło stron związanych z reklamami, a 11 proc. miało charakter szkodliwy: użytkownicy byli nakłaniani do zainstalowania złośliwego oprogramowania lub pobrania zainfekowanych dokumentów pakietu MS Office oraz PDF. W niektórych przypadkach same strony zawierały szkodliwy kod.

Według ekspertów motyw tego wielopoziomowego podstępu mógł mieć charakter finansowy: oszuści otrzymywali przychody z napędzania ruchu na stronach internetowych – zarówno na takich, które stanowią legalne strony reklamowe, jak i na szkodliwych zasobach. Zjawisko to znane jest jako malvertising. Jedna ze zidentyfikowanych szkodliwych stron odnotowała na przykład średnio 600 przekierowań w ciągu zaledwie dziesięciu dni – cyberprzestępcy otrzymują najprawdopodobniej wynagrodzenie uzależnione od liczby odwiedzin. W przypadku trojana Shlayer osobom rozprzestrzeniającym tego szkodnika płacono od każdej instalacji na urządzeniu.

Niestety użytkownicy niewiele mogą zrobić, aby uniknąć przekierowania na szkodliwą stronę. Domeny, na których znajdują się takie przekierowania, stanowiły kiedyś legalne zasoby, być może w przeszłości często odwiedzane przez użytkowników. W żaden sposób nie można stwierdzić, czy teraz kierują one na strony pobierające szkodliwe oprogramowanie. Problem komplikuje dodatkowo to, że nie w każdym przypadku użytkownik wyląduje na szkodliwej stronie: jeśli pewnego dnia wejdziesz na daną stronę z kraju, w którym się znajdujesz, nic się nie wydarzy. Jeśli natomiast spróbujesz uzyskać do niej dostęp za pośrednictwem VPN-a, możesz zostać przekierowany na stronę, która pobiera trojana Shlayer. Ogólnie tego rodzaju malvertising jest złożonym zjawiskiem, co utrudnia pełne wykrycie oszustw, dlatego najlepszą ochroną jest posiadanie na swoim urządzeniu wszechstronnego rozwiązania bezpieczeństwa.

– powiedział Dmitrij Kondratiew, analityk ds. szkodliwego oprogramowania.

Czy ten artykuł był pomocny?

Oceniono: 0 razy

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]