Les pages de domaine expirées peuvent rediriger vers des sites Web malveillants. Comment?
Selon Kaspersky, les cybercriminels peuvent exploiter les pages des domaines inactifs pour rediriger les utilisateurs vers des sites Web malveillants.
Souvent, un utilisateur finit par ouvrir un site Web juste pour vérifier si le site est inactif, dans de tels cas, l’utilisateur est redirigé vers une page de destination qui indique que le domaine a expiré et est prêt à être renouvelé. Sur la base de certains cas, ces pages incluent des liens liés au domaine expiré, mais dans certains autres cas, la page semble hébergée par un site d’enchères qui est censé vendre des domaines expirés.
Dans les cas généraux, les pages de destination semblent commencer par des liens vers d’autres sites Web légitimes vendant des domaines expirés, mais selon un rapport récemment publié par Kaspersky, il explique qu’un malware peut également résider sur ces pages de destination.
En recherchant une application pour un jeu en ligne, les experts ont découvert que l’application tentait en fait de les rediriger vers une URL malveillante, qui était répertoriée sur un site de vente aux enchères. Et en cliquant sur le site pour ouvrir une page d’enchère légitime, il est en fait redirigé vers une adresse Web sur liste noire.
Sur la base d’une analyse plus approfondie, l’équipe de sécurité a découvert environ 1000 sites Web mis en vente par le même serveur d’enchères et la redirection de deuxième étape a conduit les utilisateurs à plus de 2500 URL indésirables ou malveillantes. Dans la liste de ces URL, même beaucoup d’URL étaient toutes définies pour promouvoir et installer Shlayer Trojan sur des ordinateurs distants. Ce malware spécifique est en fait une infection basée sur Mac OS qui tente d’installer des logiciels publicitaires sur des machines ciblées.
En parcourant les recherches de Kaspersky de mars 2019 à février 2020, il a constaté qu’environ 89% de ces URL de domaine inactives provoquaient des redirections de deuxième étape et les ont redirigées vers des sites Web liés à la publicité. Alors que le reste de 11 pour cent a conduit les utilisateurs à certaines sortes de pages malveillantes. Dans certains cas, l’équipe de sécurité a également découvert que la page elle-même contenait du code malveillant et les utilisateurs sont en quelque sorte invités à télécharger ce code malveillant sur leur ordinateur via des documents MS Office et des fichiers PDF infectés.
Probablement, l’intention de ces redirections est simplement de réaliser un profit. Généralement, les utilisateurs reçoivent des commissions des annonceurs pour conduire les utilisateurs vers certains sites Web, et ils ne se soucient jamais de savoir si les sites sont légitimes ou malveillants. Selon les recherches, il a été remarqué que l’une des URL malveillantes a reçu environ 600 redirections en moyenne en dix jours, et les pages ont en fait essayé d’installer le cheval de Troie Shlayer. Et, les attaquants reçoivent en fait un paiement de chaque installation du site promu sur la machine ciblée.
Kaspersky suppose que les criminels derrière une telle campagne promotionnelle sont bien organisés et ont réussi à détourner le trafic vers des sites Web malveillants. Ils pourraient être en mesure de le faire en utilisant des redirections à partir d’un domaine légitime et en exploitant les ressources d’un site d’enchères réputé.
Bien que ce type d’attaque soit difficilement combattable, les utilisateurs peuvent néanmoins prendre des mesures de précaution pour empêcher leur machine contre de tels intrus. La toute première étape qu’ils peuvent assurer est de télécharger et d’installer des programmes à partir d’une source fiable ou de confiance, tandis que la deuxième étape recommandée consiste à utiliser une application de sécurité puissante qui peut empêcher de telles redirections vers des URL malveillantes ou suspectes.