Le pagine di dominio scadute possono reindirizzare a siti Web dannosi. Come?
Secondo Kaspersky, i criminali informatici possono sfruttare pagine per domini inattivi per reindirizzare gli utenti a siti Web dannosi.
Molte volte, un utente finisce per aprire un sito Web solo per verificare se il sito è inattivo, in questi casi l’utente viene reindirizzato a una pagina di destinazione che indica che il dominio è scaduto ed è pronto per essere rinnovato. Sulla base di alcuni casi, tali pagine includono alcuni collegamenti correlati al dominio scaduto, tuttavia in alcuni altri casi la pagina sembra ospitata da un sito Web di aste che dovrebbe vendere domini scaduti.
In casi generali, le pagine di destinazione sembrano iniziare con collegamenti ad altri siti Web legittimi che vendono domini scaduti, ma secondo un rapporto recentemente pubblicato da Kaspersky, si spiega che è possibile che un malware si trovi anche su tali pagine di destinazione.
Durante la ricerca di un’applicazione per un gioco online, gli esperti hanno scoperto che l’applicazione ha effettivamente cercato di reindirizzarli a un URL dannoso, che è stato elencato su un sito di aste in vendita. E facendo clic sul sito per aprire una pagina di asta legittima, viene effettivamente reindirizzato a un indirizzo Web nella lista nera.
Sulla base di ulteriori analisi, il team di sicurezza ha scoperto circa 1000 siti Web che sono in vendita dallo stesso server di aste e il reindirizzamento della seconda fase porta gli utenti a oltre 2500 URL indesiderati o dannosi. Nell’elenco di tali URL, anche molti degli URL erano tutti impostati per promuovere e installare Shlayer Trojan su computer remoti. Questo malware specifico è in realtà un’infezione basata su Mac OS che tenta di installare adware su macchine target.
Guardando attraverso le ricerche di Kaspersky da marzo 2019 a febbraio 2020, ha scoperto che circa l’89% di tali URL di dominio inattivi che causano reindirizzamenti di secondo livello e li ha portati su siti Web correlati agli annunci pubblicitari. Mentre il resto dell’11 percento ha portato gli utenti ad alcuni tipi di pagine dannose. In alcuni casi, il team di sicurezza ha anche scoperto che la pagina stessa ha incluso un codice dannoso e agli utenti viene in qualche modo richiesto di scaricare tale codice malware sul proprio computer attraverso documenti e file PDF di MS Office infetti.
Probabilmente, l’intenzione di tali reindirizzamenti è solo quella di guadagnare profitti. In generale, gli utenti ricevono commissioni dagli inserzionisti per indirizzare gli utenti a determinati siti Web e non si preoccupano mai che i siti siano legittimi o dannosi. Secondo le ricerche, si è notato che uno degli URL malevoli ha ricevuto circa 600 reindirizzamenti in media in dieci giorni e le pagine hanno effettivamente cercato di installare il trojan Shlayer. Inoltre, gli aggressori ricevono effettivamente un pagamento da ogni installazione dal sito promosso sulla macchina target.
Kaspersky suppone che i criminali dietro tale campagna promozionale siano ben organizzati e abbiano gestito la rete per deviare il traffico verso siti Web dannosi. Potrebbero essere in grado di farlo utilizzando i reindirizzamenti da un dominio legittimo e sfruttando le risorse di un sito di aste ben noto.
Sebbene questo tipo di attacco difficilmente possa essere combattuto, gli utenti possono comunque adottare alcune misure precauzionali per prevenire la loro macchina contro tali intrusi. Il primo passo che possono assicurare è quello di scaricare e installare qualsiasi programma da una fonte affidabile o attendibile, mentre il secondo passaggio consigliato è usare una potente app di sicurezza che può impedire tali reindirizzamenti a URL dannosi o sospetti.