Pesquisadores da Kaspersky descobriram mais de mil domínios inativos que, quando visitados, redirecionam os visitantes para outros endereços como forma de obter lucro. Porém, muitas dessas páginas de destino foram detectadas como maliciosas. Os domínios comprometidos estão à venda em um dos maiores e mais antigos sites de leilão de domínio do mundo.
Quando as empresas param de pagar por seu domínio, às vezes eles são comprados por um serviço e colocados à venda em um site de leilão. Aqueles que tentam visitar o site inativo são então redirecionados para a página do leilão, onde veem que o domínio está à venda. No entanto, os fraudadores substituíram o endereço de destino por um link malicioso, criando um esquema para infectar usuários ou gerar lucros às custas dos usuários.
Ao investigar um assistente de um jogo popular, os pesquisadores detectaram a tentativa de transferência para um endereço indesejado, e foi assim que a empresa descobriu que a URL estava listada para venda em um dos maiores e mais antigos sites de leilão do mundo. No entanto, em vez de redirecionar para o site de leilão correto, levava para uma página suspeita ou maliciosa (denylist).
Veja isso
Zoom é usado em domínios falsos para ataques de phishing
Microsoft derruba domínios usados por norte-coreanos
Uma análise posterior mostrou que havia cerca de mil sites à venda na plataforma de leilão e eles direcionavam os usuários para mais de 2.500 endereços indesejados. Muitos deles baixam o trojan Shlayer, ameaça direcionada ao sistema Mac que instala adware nos dispositivos infectados.
Entre o período de março de 2019 e fevereiro deste ano, 89% dos redirecionamentos enviavam o internauta para páginas de anúncios, enquanto 11% deles eram maliciosos. Entre as técnicas de infecção mais comuns, estavam o download direto de malware, documentos do MS Office ou PDF comprometidos ou as próprias páginas continham códigos mal-intencionados.
De acordo com especialistas, o método com diversas camadas por trás desse esquema perspicaz deve ter natureza financeira: os fraudadores recebem receita para direcionar o tráfego para as páginas — tanto aquelas que mostram publicidade legítima quanto aquelas maliciosas. Isso é conhecido como malvertising.
Uma das páginas maliciosas descobertas, por exemplo, recebeu uma média de 600 redirecionamentos em apenas dez dias — muito provavelmente, os criminosos recebem um pagamento com base no número de visitas. No caso do trojan Shlayer, quem distribui o malware recebe um pagamento por cada instalação em um dispositivo. É provável que a atividade maliciosa seja resultado de uma falha no mecanismo de impressão de anúncios usado para direcionar o tráfego dos usuários.
