Las páginas de dominio vencidas pueden redirigir a sitios web maliciosos. ¿Cómo?
Según Kaspersky, los ciberdelincuentes pueden explotar páginas para dominios inactivos para redirigir a los usuarios a sitios web maliciosos.
Muchas veces, un usuario termina abriendo un sitio web solo para verificar si el sitio está inactivo, en tales casos, el usuario es redirigido a una página de destino que indica que el dominio ha caducado y está listo para ser renovado. Según algunos casos, dichas páginas incluyen algunos enlaces relacionados con el dominio vencido, sin embargo, en otros casos, la página parece estar alojada en un sitio web de subastas que se supone que vende dominios vencidos.
En casos generales, las páginas de destino parecen comenzar con enlaces a otros sitios web legítimos que venden dominios caducados, pero según un informe recientemente publicado por Kaspersky, explica que también puede existir un malware que reside en dichas páginas de destino.
Mientras investigaban sobre una aplicación para un juego en línea, los expertos descubrieron que la aplicación realmente trató de redirigirlos a una URL maliciosa, que figuraba en un sitio de subastas para la venta. Y al hacer clic en el sitio para abrir una página de subasta legítima, en realidad se redirige a una dirección web en la lista negra.
Basado en un análisis más detallado, el equipo de seguridad descubrió alrededor de 1000 sitios web que están a la venta por el mismo servidor de subastas y la redirección de la segunda etapa lleva a los usuarios a más de 2500 URL no deseadas o maliciosas. En la lista de tales URL, incluso muchas de ellas estaban configuradas para promover e instalar el troyano Shlayer en computadoras remotas. Este malware específico es en realidad una infección basada en Mac OS que intenta instalar adware en máquinas específicas.
Al revisar las investigaciones de Kaspersky desde marzo de 2019 hasta febrero de 2020, descubrió que alrededor del 89 por ciento de esas URL de dominio inactivas causan redireccionamientos de segunda etapa y las llevan a sitios web relacionados con anuncios. Mientras que el resto del 11 por ciento llevó a los usuarios a algunos tipos de páginas maliciosas. En algunos casos, el equipo de seguridad también descubrió que la página misma se ha incluido con código malicioso y de alguna manera se les pide a los usuarios que descarguen dicho código de malware en su máquina a través de documentos infectados de MS Office y archivos PDF.
Probablemente, la intención de tales redirecciones es solo obtener ganancias. En general, los usuarios reciben una comisión de los anunciantes por conducir a los usuarios a ciertos sitios web, y nunca les importa si los sitios son legítimos o maliciosos. Según las investigaciones, se ha notado que una de las direcciones URL maliciosas ha recibido alrededor de 600 redireccionamientos en un promedio de diez días, y las páginas realmente intentaron instalar el troyano Shlayer. Y, los atacantes en realidad reciben un pago de cada instalación desde el sitio promocionado en la máquina objetivo.
Kaspersky supone que los delincuentes detrás de dicha campaña promocional están bien organizados y han administrado la red para desviar el tráfico a sitios web maliciosos. Es posible que puedan hacer esto mediante redireccionamientos desde un dominio legítimo y explotando los recursos de un sitio de subastas de buena reputación.
Aunque este tipo de ataque difícilmente se puede combatir, los usuarios pueden tomar algunas medidas de precaución para evitar que su máquina contra tales intrusos. El primer paso que pueden asegurar es descargar e instalar cualquier programa desde una fuente confiable o confiable, mientras que el segundo paso recomendado es usar una aplicación de seguridad poderosa que pueda evitar tales redireccionamientos a direcciones URL maliciosas o sospechosas.