期限切れのドメインページは悪意のあるWebサイトにリダイレクトされる可能性があります。どうやって？

カスペルスキーによると、サイバー犯罪者は非アクティブなドメインのページを悪用してユーザーを悪意のあるWebサイトにリダイレクトする可能性があります。

多くの場合、ユーザーは最終的にサイトが非アクティブかどうかを確認するためだけにWebサイトを開いてしまいます。そのような場合、ユーザーは、ドメインの有効期限が切れて更新の準備ができていることを示すランディングページにリダイレクトされます。場合によっては、このようなページには期限切れのドメインに関連するリンクが含まれていますが、期限切れのドメインを販売することになっているオークションWebサイトによってホストされているように見える場合もあります。

一般的に、ランディングページは有効期限が切れたドメインを販売する他の正当なウェブサイトへのリンクで始まるように見えますが、Kasperskyが最近発行したレポートによると、そのようなランディングページにもマルウェアが存在する可能性があると説明されています。

専門家は、オンラインゲームのアプリケーションを調査しているときに、アプリケーションが実際にそれらを悪意のあるURLにリダイレクトしようとしたことを発見しました。そして、サイトをクリックして正当なオークションページを開くと、実際にはブラックリストに登録されたWebアドレスにリダイレクトされます。

さらなる分析に基づいて、セキュリティチームは、同じオークションサーバーで売りに出されている約1000のWebサイトを発見し、第2段階のリダイレクトにより、2500を超える不要なURLまたは悪意のあるURLにユーザーを誘導しています。そのようなURLのリストでは、URLの多くでさえ、リモートコンピュータにShlayer Trojanを昇格およびインストールするように設定されています。この特定のマルウェアは、実際にはMac OSベースの感染で、標的のマシンにアドウェアをインストールしようとします。

2019年3月から2020年2月までのカスペルスキーの調査結果を見ると、このような非アクティブなドメインURLの約89％が第2ステージのリダイレクトを引き起こし、広告関連のWebサイトにリンクしていることがわかりました。残りの11％は、ユーザーを悪意のある種類のページに誘導しました。場合によっては、セキュリティチームはページ自体に悪意のあるコードが含まれていることも発見し、ユーザーは感染したMS OfficeドキュメントとPDFファイルを介してそのようなマルウェアコードをマシンにダウンロードするように促されます。

おそらく、そのようなリダイレクトの目的は、単に利益を上げることです。一般的に、ユーザーは広告主からユーザーを特定のWebサイトに誘導するための手数料を受け取り、そのサイトが正当なサイトか悪意のあるサイトかを気にすることはありません。調査によると、悪意のあるURLの1つが10日間で平均約600のリダイレクトを受信し、ページが実際にShlayerトロイの木馬をインストールしようとしたことが判明しています。そして、攻撃者は実際に、標的となるマシンの昇格されたサイトからすべてのインストールから支払いを受け取ります。

カスペルスキーは、そのようなプロモーションキャンペーンの背後にいる犯罪者が適切に組織化されており、悪意のあるWebサイトにトラフィックを誘導するネットワークを管理していると想定しています。彼らは、正当なドメインからのリダイレクトを使用し、評判の高いオークションサイトのリソースを利用して、これを実行できる可能性があります。

この種の攻撃に対抗することはほとんどできませんが、それでもユーザーは、侵入者に対してマシンを防ぐためにいくつかの予防策を講じることができます。彼らが保証できる最初のステップは、信頼できるソースまたは信頼できるソースからプログラムをダウンロードしてインストールすることです。2番目に推奨されるステップは、悪意のあるまたは疑わしいURLへのリダイレクトを防ぐことができる強力なセキュリティアプリを使用することです。