As páginas de domínio expiradas podem redirecionar para sites maliciosos. Quão?
Segundo a Kaspersky, os cibercriminosos podem explorar páginas de domínios inativos para redirecionar usuários para sites maliciosos.
Muitas vezes, um usuário acaba abrindo um site apenas para verificar se o site está inativo; nesses casos, o usuário é redirecionado para uma página de destino que indica que o domínio expirou e está pronto para ser renovado. Com base em alguns casos, essas páginas incluem alguns links relacionados ao domínio expirado; no entanto, em outros casos, a página parece hospedada em um site de leilão que supostamente vende domínios expirados.
Em casos gerais, as páginas de destino parecem começar com links para outros sites legítimos que vendem domínios expirados, mas, de acordo com um relatório recentemente publicado pela Kaspersky, explica que também pode haver um malware residindo nessas páginas de destino.
Enquanto pesquisavam sobre um aplicativo para um jogo online, os especialistas descobriram que o aplicativo tentou redirecioná-los para um URL malicioso, listado em um site de leilão para venda. E clicando no site para abrir uma página de leilão legítima, ele na verdade é redirecionado para um endereço da web na lista negra.
Com base em análises adicionais, a equipe de segurança descobriu cerca de 1000 sites que estão à venda pelo mesmo servidor de leilões e o redirecionamento do segundo estágio leva os usuários a mais de 2500 URLs maliciosos ou indesejados. Na lista desses URLs, mesmo muitos deles estavam prontos para promover e instalar o Shlayer Trojan em computadores remotos. Esse malware específico é na verdade uma infecção baseada no Mac OS que tenta instalar o adware em máquinas direcionadas.
Analisando as pesquisas da Kaspersky de março de 2019 a fevereiro de 2020, constatou que cerca de 89% desses URLs de domínio inativos causam redirecionamentos no segundo estágio e os direcionam para sites relacionados a anúncios. Enquanto o restante dos 11% levou os usuários a alguns tipos maliciosos de páginas. Em alguns casos, a equipe de segurança também descobriu que a própria página foi incluída no código malicioso e os usuários são solicitados a baixar esse código de malware em sua máquina através de documentos e arquivos PDF infectados do MS Office.
Provavelmente, a intenção de tais redirecionamentos é apenas obter lucro. Geralmente, os usuários recebem comissão dos anunciantes por direcionar usuários para determinados sites e nunca se importam se os sites são legítimos ou maliciosos. De acordo com pesquisas, observou-se que um dos URLs maliciosos recebeu cerca de 600 redirecionamentos em média em dez dias, e as páginas realmente tentaram instalar o Trojan Shlayer. E, na verdade, os invasores recebem um pagamento de cada instalação do site promovido na máquina de destino.
A Kaspersky supõe que os criminosos por trás dessa campanha promocional sejam bem organizados e tenham gerenciado a rede para desviar o tráfego para sites maliciosos. Eles podem fazer isso usando redirecionamentos de um domínio legítimo e explorando os recursos de um site de leilão de boa reputação.
Embora esse tipo de ataque dificilmente possa ser combatido, os usuários ainda podem tomar algumas medidas de precaução para impedir sua máquina contra esses invasores. O primeiro passo que eles podem garantir é baixar e instalar qualquer programa de uma fonte confiável ou confiável, enquanto o segundo passo recomendado é usar um aplicativo de segurança poderoso que pode impedir esses redirecionamentos para URLs maliciosos ou suspeitos.