Cercetatorii Kaspersky au descoperit peste o mie de domenii inactive care, atunci cand sunt vizitate, redirectioneaza vizitatorii catre adrese URL nedorite, ca modalitate de a obtine profit. Multe dintre aceste pagini din a doua categorie au fost detectate ca fiind rau intentionate.Atunci cand companiile nu mai platesc pentru domeniul lor, uneori acestea sunt achizitionate de catre un serviciu si puse la vanzare pe un site de licitatie. Cei care incearca sa viziteze site-ul inactiv sunt apoi redirectionati catre butonul de licitatie, unde vad ca in prezent, domeniul este de vanzare - sau cel putin asa ar trebui sa fie. Cu toate acestea, prin inlocuirea butonului cu altceva - de exemplu un link rau intentionat - escrocii pot crea o schema prin care infecteaza utilizatorii sau genereaza profituri de pe urma utilizatorilor care cad in capcana.
In timp ce investigau un instrument de asistenta pentru un joc online popular, cercetatorii Kaspersky au detectat o incercare a aplicatiei de a-i redirectiona catre o adresa URL nedorita. Ulterior, s-a dovedit ca aceasta adresa URL fusese pusa la vanzare pe un site de licitatii. Cu toate acestea, in loc sa ii redirectioneze catre site-ul corect, aceasta a doua redirectionare transfera utilizatorii catre o alta pagina suspecta.
Analiza ulterioara a descoperit aproximativ 1000 de site-uri web puse la vanzare pe diverse platforme de licitatie. In a doua etapa a redirectionarii, aceste 1000 de pagini au redirectionat utilizatorii catre 2500 de adrese URL nedorite. Multe dintre acestea descarca pe dispozitiv un troian numit Shlayer - o amenintare MacOS raspandita care instaleaza adware pe dispozitivele infectate si este distribuita de pagini web cu continut rau intentionat.
Intre martie 2019 si februarie 2020, 89% din aceste redirectionari consecutive au fost catre pagini legate de anunturi, in timp ce 11% au fost rau intentionate: utilizatorii au fost invitati sa descarce documente PDF sau MS Office infectate, sau chiar paginile in sine contineau cod rau intentionat.
Potrivit expertilor, rationamentul care a stat la baza acestei inselatorii pe mai multe straturi ar putea fi de natura financiara: escrocii primesc venituri pentru a genera trafic pe unele pagini - atat pentru cele care sunt pagini de publicitate legitime, cat si pentru cele rau intentionate. Acestea din urma sunt definitia publicitatii rau intentionate. Una dintre paginile daunatoare descoperite, de exemplu, a primit in medie 600 de redirectionari in doar 10 zile - cel mai probabil atacatorii primesc o plata in functie de numarul de vizite. In cazul Shlayer, cei care distribuie programul malware au primit bani de fiecare data cand troianul a fost instalat pe un dispozitiv.
Este probabil ca inselaciunea sa fie rezultatul unor defecte in filtrarea reclamelor si in modul in care acestea afiseaza continutul unei retele terte de publicitate.
“Din pacate, utilizatorii nu pot face prea multe pentru a evita redirectionarea catre o pagina rau intentionata. Domeniile care fac aceste redirectionari au fost - la un moment dat - resurse legitime, poate dintre cele pe care utilizatorii le-au vizitat frecvent in trecut. Si chiar e imposibil sa iti dai seama daca acestea transfera sau nu vizitatorii catre paginile care descarca malware. Cu atat mai mult, daca ajungem sau nu pe un site redirectionat depinde de o serie de factori: daca intr-o zi accesati un site din Rusia, nu se va intampla nimic. Daca incercati apoi sa il accesati cu un VPN, este posibil sa fiti trimisi catre o pagina care descarca Shlayer. In general, schemele de publicitate de genul acesta sunt complexe, ceea ce face si mai dificil sa fie descoperite in totalitate, astfel incat cea mai buna metoda de aparare este aceea de a folosi o solutie de Securitate fiabila pe dispozitivul personal” spune Dmitry Kondratyev, Junior Malware Analyst.
