Распространение вредоносного ПО через неактивные домены
Компания «Лаборатория Касперского» сообщила о том, что за год обнаружила по всему миру более тысячи неактивных доменов, в том числе российских, которые используются злоумышленниками для перенаправления пользователей на нежелательные и вредоносные сайты. В 89% случаев это ресурсы с рекламой, однако в 11% при входе на такой домен пользователь затем попадает на страницы, где ему предлагают установить вредоносный софт, в том числе троянец для macOS Shlayer, скачать зараженные документы Microsoft Office или PDF-документы со ссылками на мошеннические ресурсы.
Обычно пользователи, которые пытаются зайти на неработающие страницы, видят заглушку, но в данном случае они автоматически перенаправляются на нежелательный или вредоносный ресурс, причем не всегда на один и тот же. Так, для найденной тысячи страниц перенаправление шло на более 2500 нежелательных сайтов.
Как поясняют эксперты, злоумышленники, возможно, получают оплату за каждый переход пользователя, как на легитимные рекламные страницы, так и на те, с помощью которых распространяются вредоносные программы. Одна из таких страниц получила 600 редиректов за 10 дней. В случае же с троянцем Shlayer оплата, по всей видимости, производилась за каждую установку на устройстве.
Это сложная схема, комментируют в «Лаборатории Касперского», поскольку сами по себе домены, которые используют злоумышленники, легитимны, и часть посетителей может зайти на них, набрав адрес по памяти, щелкнув по ссылке в окне «О программе» используемого приложения либо найдя их в поисковых системах. При этом пользователь не может узнать, в каких случаях перенаправление будет идти на страницы, загружающие вредоносное ПО, и предотвратить опасные переходы самостоятельно. Соответственно «Лаборатория Касперского» рекомендует скачивать программы и обновления только из официальных источников и использовать защитное решение с функцией антифишинга, которая предотвращает перенаправления на подозрительные страницы.