Investigadores da Kaspersky descobriram mais de mil domínios inativos que, quando visitados, redirecionam os visitantes para sites indesejados, muitos identificados como maliciosos, com o objetivo de obterem lucro
Quando as empresas deixam de pagar pelo seu domínio de Internet, por vezes estes podem ser comprados por um serviço e colocados à venda num site de leilão (auction site). Os utilizadores que tentam visitar a página inativa são redirecionados para a plataforma de leilão onde vêem que o domínio está atualmente à venda ou, pelo menos, deveria estar. No entanto, ao substituir o stub (fragmento de código) por um link malicioso, por exemplo, os cibercriminosos podem criar um esquema para infetar os utilizadores ou gerar lucros à sua custa. Foi enquanto investigavam uma ferramenta de assistência de um popular jogo online, que os investigadores da Kaspersky detetaram que a aplicação tentava transferi-los para um URL indesejado. Verificou-se depois que esta hiperligação estava à venda num site de leilão. No entanto, em vez de redirecionar os utilizadores para a página correta que exibe o domínio para venda, o redirecionamento encaminhava-os para uma outra página. Uma análise em profundidade levou os especialistas da Kaspersky a descobrir cerca de mil domínios colocados à venda em várias plataformas de leilão. Estas mil páginas transferiram os utilizadores para mais de 2.500 URL indesejados, sendo que muitos deles descarregaram o trojan Shlayer - uma ameaça macOS generalizada que instala adware nos dispositivos infetados e é distribuída por páginas web com conteúdo malicioso. Entre março de 2019 e fevereiro de 2020, 89% destes redireccionamentos foram feitos para páginas relacionadas com publicidade, enquanto 11% se trataram de malware: os utilizadores foram solicitados a instalar malware ou a descarregar documentos MS Office ou PDF infetados, ou as próprias páginas continham código malicioso. De acordo com a Kaspersky, o raciocínio por detrás deste esquema de várias camadas pode ser de natureza financeira: os hackers recebem receitas por conduzir o tráfego para páginas - tanto para aquelas que são páginas de publicidade legítima como para aquelas que são maliciosas. Esta tática é conhecida como “malvertising” (publicidade enganosa). Por exemplo, uma das páginas maliciosas descobertas recebeu, em média, 600 redireccionamentos em apenas dez dias, sendo que o mais provável é que os criminosos recebam um pagamento com base no número de visitas gerado. Já no caso do trojan Shlayer, os hackers que distribuem o malware receberam um pagamento por cada instalação num dispositivo. Estima-se que este esquema de ataque também seja resultado de uma falha na filtragem do anúncio do módulo que exibe o conteúdo da rede de anúncios de terceiros. "Infelizmente, os utilizadores podem fazer muito pouco para não serem redirecionados para uma página maliciosa. Os domínios que têm estes redireccionamentos foram, em algum momento, recursos legítimos, talvez aqueles que os utilizadores visitavam frequentemente no passado. E não há forma de saber se agora estão ou não a transferir visitantes para páginas que descarregam malware. Além disso, outro desafio relaciona-se com o facto de aceder ou não um site malicioso poder variar: se um dia, esse acesso é feito desde a Rússia, nada acontece. Contudo, se depois tentar aceder ao mesmo site com uma VPN, poderá ser enviado para uma página que descarregue o trojan Shlayer. Em geral, esquemas de malvertising como estes são complexos, o que dificulta a sua total descoberta, pelo que a sua melhor defesa é ter uma solução de segurança completa no seu dispositivo", comenta Dmitry Kondratyev, Analista Júnior de malware. |