fbpx
Analize Stiri Tech

Adrese URL de vânzare redirecționează utilizatorii către pagini web periculoase3 min

10/07/2020 2 min read

Adrese URL de vânzare redirecționează utilizatorii către pagini web periculoase3 min

Reading Time: 2 minute

Atunci când companiile nu mai plătesc pentru domeniul lor, uneori acestea sunt achiziționate de către un serviciu și puse la vânzare pe un site de licitație. Cei care încearcă să viziteze site- ul inactiv sunt apoi redirecționați către butonul de licitație, unde văd că în prezent, domeniul este de vânzare – sau cel puțin așa ar trebui să fie. Cu toate acestea, prin înlocuirea butonului cu altceva – de exemplu un link rău intenționat – escrocii pot crea o schemă prin care infectează utilizatorii sau generează profituri de pe urma utilizatorilor care cad în capcană.

În timp ce investigau un instrument de asistență pentru un joc online popular, cercetătorii Kaspersky au detectat o încercare a aplicației de a-i redirecționa către o adresă URL nedorită. Ulterior, s-a dovedit că această adresă URL fusese pusă la vânzare pe un site de licitații. Cu toate acestea, în loc să îi redirecționeze către site-ul corect, această a doua redirecționare transfera utilizatorii către o altă pagină suspectă.

Un Troian

Analiza ulterioară a descoperit aproximativ 1000 de site-uri web puse la vânzare pe diverse platforme de licitație. În a doua etapă a redirecționării, aceste 1000 de pagini au redirecționat utilizatorii către 2500 de adrese URL nedorite. Multe dintre acestea descarcă pe dispozitiv un troian numit Shlayer – o amenințare MacOS răspândită care instalează adware pe dispozitivele infectate și este distribuită de pagini web cu conținut rău intenționat.

Între martie 2019 și februarie 2020, 89% din aceste redirecționări consecutive au fost către pagini legate de anunțuri, în timp ce 11% au fost rău intenționate: utilizatorii au fost invitați să descarce documente PDF sau MS Office infectate, sau chiar paginile în sine conțineau cod rău intenționat.

“Din păcate, utilizatorii nu pot face prea multe pentru a evita redirecționarea către o pagină rău intenționată. Domeniile care fac aceste redirecționări au fost – la un moment dat – resurse legitime, poate dintre cele pe care utilizatorii le-au vizitat frecvent în trecut. Și chiar e imposibil să îți dai seama dacă acestea transferă sau nu vizitatorii către paginile care descarcă malware. Cu atât mai mult, dacă ajungem sau nu pe un site redirecționat depinde de o serie de factori: dacă într-o zi accesați un site din Rusia, nu se va întâmpla nimic. Dacă încercați apoi să îl accesați cu un VPN, este posibil să fiți trimiși către o pagină care descarcă Shlayer. În general, schemele de publicitate de genul acesta sunt complexe, ceea ce face și mai dificil să fie descoperite în totalitate, astfel încât cea mai bună metodă de apărare este aceea de a folosi o soluție de Securitate fiabilă pe dispozitivul personal” spune Dmitry Kondratyev, Junior Malware Analyst.

Potrivit experților, raționamentul care a stat la baza acestei înșelătorii pe mai multe straturi ar putea fi de natură financiară: escrocii primesc venituri pentru a genera trafic pe unele pagini – atât pentru cele care sunt pagini de publicitate legitime, cât și pentru cele rău intenționate. Acestea din urmă sunt definiția publicității rău intenționate. Una dintre paginile dăunătoare descoperite, de exemplu, a primit în medie 600 de redirecționări în doar 10 zile – cel mai probabil atacatorii primesc o plată în funcție de numărul de vizite. În cazul Shlayer, cei care distribuie programul malware au primit bani de fiecare data când troianul a fost instalat pe un dispozitiv.

Foto: © Igor Stevanovic | Dreamstime.com

Leave a comment

Your email address will not be published. Required fields are marked *