Experti spoločnosti Kaspersky odhalili viac ako tisíc neaktívnych domén, ktoré po ich navštívení presmerujú používateľov na nežiadúce URL adresy, ktoré kyberútočníci používajú na vlastné obohatenie sa. Mnohé z týchto druhotných stránok boli vyhodnotené ako škodlivé.
Keď spoločnosti prestanú platiť za svoje domény, stáva sa, že ich kúpi služba, ktorá ich následne ponúkne na predaj na aukčnej stránke. Tí, ktorí sa pokúsia neaktívnu webovú stránku navštíviť, sú presmerovaní na aukciu, kde vidia, že doména je na predaj – alebo teda, mala by byť. Avšak, pokiaľ sa im podarí nahradiť presmerovanie niečím iným, napríklad škodlivým linkom, podvodníci tak dokážu vytvoriť rafinovaný systém na infikovanie používateľov alebo generovanie zisku na účet obetí.
Pri skúmaní pomocného nástroja pre populárnu online hru experti spoločnosti Kaspersky odhalili pokus aplikácie presmerovať ich na nechcenú URL adresu. Ukázalo sa, že táto adresa bola uvedená na aukčnej stránke, že je na predaj. Avšak namiesto toho, aby ich presmerovalo na adresu reálnej aukčnej stránky, toto druhostupňové presmerovanie poslalo používateľov na iný web, ktorý sa nachádzal na čiernej listine.
Dodatočná analýza odhalila približne 1000 webových stránok, ktoré boli na predaj v ponuke rôznych aukčných platforiem. V druhej fáze presmerovania týchto tisíc stránok poslalo používateľov na viac než 2500 nežiaducich URL adries. Mnohé z nich sťahujú trójskeho koňa Shlayer – rozšírenú hrozbu pre operačný systém macOS, ktorá na infikovaných zariadeniach inštaluje advér a šíri sa prostredníctvom webových stránok so škodlivým obsahom.
Medzi marcom 2019 a februárom 2020 až 89 % týchto druhostupňových presmerovaní viedlo na stránky súvisiace s reklamami, zatiaľ čo zvyšných 11 % bolo škodlivých: používatelia boli buď vyzvaní na inštaláciu škodlivého softvéru alebo na stiahnutie infikovaných dokumentov MS Office alebo PDF, prípadne škodlivý kód obsahovali samotné stránky.
Podľa odborníkov by zdôvodnenie tohto rafinovaného viacvrstvového systému mohlo mať finančný charakter: podvodníci získavajú príjmy za smerovanie návštevnosti na webové stránky aj v prípade legitímnych reklamných stránok, ale aj v prípade tých škodlivých. Toto je schéma známa ako malvertising. Napríklad na jednu z odhalených škodlivých stránok viedlo len za 10 dní v priemere 600 presmerovaní – kyberzločinci s najväčšou pravdepodobnosťou obdržia platbu na základe počtu návštev. V prípade trojana Shlayer dostali distribútori tohto malvéru platbu za každú inštaláciu na zariadení.
Je pravdepodobné, že tento podvod je výsledkom nedostatkov vo filtrovaní reklám pre modul, ktorý zobrazuje obsah reklamnej siete tretej strany.
„Žiaľ, nie je toho veľa, čo by mohli používatelia urobiť, aby sa vyhli presmerovaniu na škodlivú stránku. Domény, na ktorých sa tieto presmerovania nachádzajú, boli v istej chvíli legitímnymi zdrojmi, pravdepodobne tými, ktoré používatelia v minulosti často navštevovali. Neexistuje žiaden spôsob ako zistiť, či v súčasnosti nedochádza k presmerovaniu návštevníkov na stránky, ktoré sťahujú malvér. Osobitnou výzvou je aj skutočnosť, že to, či používateľ bude alebo nebude presmerovaný na škodlivú webstránku, závisí od viacerých faktorov. Ak jedného dňa navštívite nejakú stránku z Ruska, nič sa nemusí stať. Ak sa ju však následne pokúsite navštíviť cez VPN, môže vás presmerovať na stránku, ktorá stiahne malvér Shlayer. Vo všeobecnosti sú tieto malvertising schémy zložité a teda aj celkom náročné na odhalenie, takže najlepšou ochranou je komplexné bezpečnostné riešenie na vašom zariadení,“ vysvetľuje Miroslav Kořen, generálny riaditeľ spoločnosti Kaspersky pre východnú Európu.
Viac informácií o škodlivých linkoch nájdete na stránke Securelist.com.
Aby ste znížili riziko infikovania trójskymi koňmi zo škodlivých stránok, spoločnosť Kaspersky odporúča:
- Inštalujte si programy a ich aktualizácie iba z dôveryhodných zdrojov.
- Používajte spoľahlivé bezpečnostné riešenie, ako napríklad Kaspersky Security Cloud s anti-phishingovými funkciami, ktoré bránia presmerovaniu na podozrivé webové stránky.
