当企业停止支付域名费用时,有时候这些域名会被一些服务机构买下,并放到拍卖网站上进行出售。
试图访问这些已经不存在的网站的用户会被重定向到拍卖末节区域,在那里访问者会看到该域名目前正在出售——或者至少应该是在进行出售。但是,通过使用其他东西(例如恶意链接)替代末节区域,欺诈者能够制定一个狡猾的计划来感染用户或从用户那里牟利。
卡巴斯基研究人员在调查一款热门网络游戏的辅助工具时,检测到该应用程序试图将他们重定向到一个他们并不想访问的URL。结果显示,该 URL 正在一个拍卖网站上出售。但是,第二阶段的重定向并没有将访问者引导到正确的末节区域网站,而是重定向到另一个黑名单页面。
进一步分析发现,有约1,000个网站被放到不同的排名平台上销售。在重定向的第二阶段,这1,000个页面将用户重定向到超过2,500个用户并不想访问的 URL 地址。这些网站中,很多会在用户计算机上下载 Shlayer 木马——这是一种传播很广泛的macOS威胁,能够在被感染的设备上安装广告软件,并通过带有恶意内容的网页进行传播。
2019年3月至2020年2月期间,这些第二阶段的重定向中,有89%都是将用户引导到广告相关的页面,还有11%的重定向是恶意的:用户或者被要求安装恶意软件或下载被感染的MS Office文档或 PDF文档,或者页面本身就包含恶意代码。
根据专家的调查,这种多层级的欺诈计划背后的原因可能是为了经济利益:欺诈者通过将流量引到网页——包括那些合法的广告网页和那些恶意的网页——来获得收入。这就是所谓的恶意广告活动。例如,其中一个被发现的恶意网页在短短十天内平均收到了600个重定向——很可能网络罪犯是根据访问数量获得酬金的。以 Shalyer 为例,每在一台设备上安装一次这种恶意软件,传播该恶意软件的人就会收到一笔酬金。
这种骗局可能是由于显示第三方广告网络内容的模块的广告过滤存在缺陷而导致的。
“不幸的是,对于避免被重定向到恶意页面,用户可做的并不多。包含重定向的这些域名在某种程度上时合法的资源,也许是用户过去经常访问的资源。而且我们无法知道他们现在是否将访问者重定向到下载恶意软件的页面。更具挑战性的是,您是否访问到恶意网站是不确定的:可能某一天,您通过俄罗斯访问该网站,什么也不会发生。但是,如果您试图通过使用VPN来访问该网站,您可能会被重定向到一个下载 Shlayer 的页面。通常来说,像这样的恶意广告计划很复杂,很难完全被揭穿,所以您最好的防御措施是在你的设备上安装一个全面的安全解决方案,”高级恶意软件分析师 Dmitry Kondratyev 评论说。
要了解更多有关这些恶意链接的详情,请访问Securelist.
为了降低被恶意网站上木马感染的风险,卡巴斯基专家建议:
- 只从受信任的来源安装程序和更新
- 使用一款可靠的具有反钓鱼功能,避免被重定向到可疑页面的安全解决方案,例如卡巴斯基安全云
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球250,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.
