Σίγουρα θα έχει τύχει στους περισσότερους χρήστες, αν όχι σε όλους, να προσπαθούν να ανοίξουν ένα site και στην πορεία να ανακαλύπτουν ότι αυτό το site δεν υπάρχει πλέον, αλλά έχει αντικατασταθεί από μια σελίδα προορισμού που υποδεικνύει ότι το domain έχει λήξει ή πρόκειται να ανανεωθεί. Σε ορισμένες περιπτώσεις, η σελίδα που προκύπτει, περιέχει απλά links που σχετίζονται με το site που έχει λήξει. Σε άλλες περιπτώσεις, η σελίδα φιλοξενείται από ένα site δημοπρασιών που έχει ως στόχο να πουλήσει το domain name που έχει λήξει. Αυτές οι σελίδες προορισμού ή δημοπρασιών φαίνεται να περιέχουν links τα οποία κατευθύνουν τους χρήστες σε νόμιμα sites. Στην πραγματικότητα, όμως, τα πράγματα είναι διαφορετικά, καθώς τα expired domains κρύβουν πολλούς κινδύνους – ένας από αυτούς είναι η ανακατεύθυνση των χρηστών σε κακόβουλα sites.
Συγκεκριμένα, μια έκθεση που κυκλοφόρησε αυτή τη βδομάδα από την Kaspersky επισημαίνει ότι κάποιες από αυτές τις φαινομενικά “αθώες” σελίδες είναι πολύ πιθανό να κρύβουν malware. Εξετάζοντας μια εφαρμογή για ένα online game, οι ερευνητές του Kaspersky διαπίστωσαν ότι η εφαρμογή προσπάθησε να τους ανακατευθύνει σε μια ανεπιθύμητη διεύθυνση URL, η οποία είχε τεθεί προς πώληση σε ένα site δημοπρασιών. Αντί να μεταφερθούν στο σωστό website stub, η ανακατεύθυνση δεύτερου σταδίου τους οδήγησε σε μια blacklist σελίδα.
Στη συνέχεια, η Kaspersky ανακάλυψε περίπου 1.000 sites προς πώληση από την ίδια υπηρεσία δημοπρασιών. Το δεύτερο στάδιο ανακατεύθυνσης για αυτά τα sites οδήγησε τους χρήστες σε περισσότερες από 2.500 ανεπιθύμητες διευθύνσεις URL. Επιπλέον, πολλές από αυτές τις διευθύνσεις URL δημιουργήθηκαν για να κατεβάσουν το Shlayer Trojan, ένα malware που προσπαθεί να εγκαταστήσει adware σε υπολογιστές Mac.
Παρακολουθώντας τη δραστηριότητα από τον Μάρτιο του 2019 έως τον Φεβρουάριο του 2020, οι ερευνητές της Kaspersky διαπίστωσαν ότι το 89% αυτών των ανακατευθύνσεων δεύτερου σταδίου μετέφερε τους χρήστες σε σελίδες που σχετίζονται με διαφημίσεις, ενώ το 11% τους μετέφερε σε κακόβουλα sites. Σε ορισμένες περιπτώσεις, οι σελίδες περιείχαν κακόβουλο κώδικα. Υπήρχαν επίσης και περιπτώσεις, στις οποίες ζητήθηκε από τους χρήστες να εγκαταστήσουν malware ή να κατεβάσουν μολυσμένα έγγραφα του Microsoft Office και αρχεία PDF.
O απώτερος στόχος σε τέτοιες περιπτώσεις είναι το κέρδος. Άνθρωποι λαμβάνουν χρήματα για την οδήγηση χρηστών σε συγκεκριμένες σελίδες, είτε αυτές είναι νόμιμες σελίδες διαφημίσεων είτε κακόβουλες. Μία από τις κακόβουλες σελίδες έλαβε 600 ανακατευθύνσεις κατά μέσο όρο μέσα σε δέκα ημέρες. Με τις σελίδες που προσπαθούσαν να εγκαταστήσουν το Shlayer Trojan, οι εισβολείς λάμβαναν χρήματα με κάθε εγκατάσταση του malware σε κάποια συσκευή – στόχο.
Οι ερευνητές της Kaspersky εκτιμούν ότι οι κυβερνοεγκληματίες που βρίσκονται πίσω από αυτήν την malware εκστρατεία, αποτελούν μέρος ενός καλά οργανωμένου και πιθανώς διαχειριζόμενου δικτύου που μπορεί να εκτρέψει την επισκεψιμότητα σε κακόβουλα sites. Αυτό μπορούσαν να το κάνουν χρησιμοποιώντας ανακατευθύνσεις από νόμιμα domain names και εκμεταλλευόμενοι τους πόρους ενός γνωστού site δημοπρασίας domain.
O Dmitry Kondratyev, junior malware analyst στην Kaspersky, εξήγησε πως οι χρήστες δεν μπορούν να κάνουν πολλά για να αποφύγουν την ανακατεύθυνσή τους σε μια κακόβουλη σελίδα. Ανέφερε, ακόμη, πως δεν υπάρχει τρόπος να γνωρίζει κανείς εάν οι επισκέπτες μεταφέρονται σε σελίδες που κατεβάζουν malware, ενώ είναι δύσκολο να διαχειριστούν expired domains. Τόνισε, επίσης, πως τα προγράμματα κακόβουλης διαφήμισης είναι περίπλοκα, γεγονός που καθιστά δύσκολο τον εντοπισμό και την αντιμετώπισή τους. Επομένως, η καλύτερη άμυνα των χρηστών απέναντι στα expired domains και στις συνεπακόλουθες συνέπειες, είναι να έχουν μια ολοκληρωμένη λύση ασφαλείας στη συσκευή τους, σύμφωνα με τον Kondratyev. Αν και αυτό το είδος επίθεσης μπορεί να είναι δύσκολο να μετριαστεί και να καταπολεμηθεί, οι χρήστες μπορούν να λάβουν μέτρα για να αποτρέψουν τα trojans από το να μολύνουν τις συσκευές τους.
Η Kaspersky προτείνει στους χρήστες να ακολουθήσουν δύο βασικά βήματα:
- Να εγκαθιστούν προγράμματα και ενημερώσεις μόνο από αξιόπιστες πηγές.
- Να χρησιμοποιούν μια αξιόπιστη λύση ασφαλείας με δυνατότητες κατά του phishing που αποτρέπουν τις ανακατευθύνσεις σε ύποπτες σελίδες.
