Abgelaufene Domain-Seiten können auf schädliche Websites umleiten. Wie?
Laut Kaspersky können Cyberkriminelle Seiten für inaktive Domains ausnutzen, um Benutzer auf schädliche Websites umzuleiten.
Oft öffnet ein Benutzer eine Website, um zu überprüfen, ob die Website inaktiv ist. In solchen Fällen wird der Benutzer auf eine Zielseite umgeleitet, die angibt, dass die Domain abgelaufen ist und erneuert werden kann. In einigen Fällen enthalten solche Seiten einige Links, die sich auf abgelaufene Domains beziehen. In einigen anderen Fällen scheint die Seite jedoch von einer Auktionswebsite gehostet zu werden, die abgelaufene Domains verkaufen soll.
Im Allgemeinen scheinen die Zielseiten mit Links zu einigen anderen legitimen Websites zu beginnen, auf denen abgelaufene Domains verkauft werden. Laut einem kürzlich veröffentlichten Bericht von Kaspersky wird jedoch erklärt, dass sich auf solchen Zielseiten möglicherweise auch Malware befindet.
Bei der Recherche nach einer Anwendung für ein Online-Spiel haben die Experten festgestellt, dass die Anwendung tatsächlich versucht hat, sie auf eine schädliche URL umzuleiten, die auf einer Auktionsseite zum Verkauf angeboten wurde. Wenn Sie auf die Website klicken, um eine legitime Auktionsseite zu öffnen, wird diese tatsächlich an eine auf der schwarzen Liste stehende Webadresse weitergeleitet.
Basierend auf weiteren Analysen entdeckte das Sicherheitsteam rund 1000 Websites, die von demselben Auktionsserver zum Verkauf angeboten werden, und die Umleitung in der zweiten Stufe führte Benutzer zu mehr als 2500 unerwünschten oder böswilligen URLs. In der Liste solcher URLs waren sogar viele der URLs so eingestellt, dass sie den Shlayer-Trojaner auf Remotecomputern bewerben und installieren. Diese spezielle Malware ist eine Mac OS-basierte Infektion, die versucht, Adware auf Zielcomputern zu installieren.
Bei den Untersuchungen von Kaspersky von März 2019 bis Februar 2020 wurde festgestellt, dass rund 89 Prozent dieser inaktiven Domain-URLs Weiterleitungen der zweiten Stufe verursachen und auf werbebezogene Websites gelangen. Während der Rest von 11 Prozent die Benutzer zu einigen böswilligen Arten von Seiten führte. In einigen Fällen stellte das Sicherheitsteam auch fest, dass die Seite selbst schädlichen Code enthält, und die Benutzer werden irgendwie aufgefordert, diesen Malware-Code über infizierte MS Office-Dokumente und PDF-Dateien auf ihren Computer herunterzuladen.
Wahrscheinlich besteht die Absicht solcher Weiterleitungen nur darin, Gewinn zu erzielen. Im Allgemeinen erhalten die Nutzer von Werbetreibenden eine Provision, um Nutzer zu bestimmten Websites zu führen, und es ist ihnen egal, ob die Websites legitim oder böswillig sind. Untersuchungen zufolge ist festgestellt worden, dass eine der böswilligen URLs in zehn Tagen durchschnittlich 600 Weiterleitungen erhalten hat, und die Seiten haben tatsächlich versucht, den Shlayer-Trojaner zu installieren. Und die Angreifer erhalten tatsächlich eine Zahlung von jeder Installation von der beworbenen Site auf dem Zielcomputer.
Kaspersky geht davon aus, dass die Kriminellen hinter solchen Werbekampagnen gut organisiert sind und ein Netzwerk verwaltet haben, um den Datenverkehr auf schädliche Websites umzuleiten. Möglicherweise können sie dies mithilfe von Weiterleitungen von einer legitimen Domain und unter Ausnutzung der Ressourcen einer renommierten Auktionsseite tun.
Obwohl diese Art von Angriff kaum bekämpft werden kann, können die Benutzer dennoch einige Vorsichtsmaßnahmen treffen, um ihre Maschine gegen solche Eindringlinge zu schützen. Der allererste Schritt, den sie sicherstellen können, ist das Herunterladen und Installieren von Programmen von einer zuverlässigen oder vertrauenswürdigen Quelle, während der zweite empfohlene Schritt die Verwendung einer leistungsstarken Sicherheits-App ist, die solche Weiterleitungen zu böswilligen oder verdächtigen URLs verhindern kann.
