«Лаборатория Касперского» обнаружила необычную схему распространения вредоносного ПО — через неактивные домены

За год «Лаборатория Касперского» обнаружила по всему миру более тысячи неактивных доменов, в том числе российских, которые используются злоумышленниками для перенаправления пользователей на нежелательные и вредоносные сайты*. В 89% случаев это ресурсы с рекламой, однако в 11% при входе на такой домен пользователь затем попадает на страницы, где ему предлагают установить вредоносный софт, в том числе троянец для macOS Shlayer, скачать заражённые документы MS Office или, например, PDF-документы со ссылками на мошеннические ресурсы.

Обычно пользователи, которые пытаются зайти на неработающие страницы, видят заглушку, но в данном случае они автоматически перенаправляются на нежелательный или вредоносный ресурс, причём не всегда на один и тот же. Так, в совокупности с найденной тысячей страниц перенаправление шло на более 2500 нежелательных сайтов.

Злоумышленники, возможно, получают оплату за каждый переход пользователя — как на легитимные рекламные страницы, так и на те, с помощью которых распространяются вредоносные программы. Одна из таких страниц получила 600 редиректов за 10 дней. В случае же с троянцем Shlayer оплата, по всей видимости, производилась за каждую установку на устройстве.

«Это сложная схема, поскольку сами по себе домены, которые используют злоумышленники, являются легитимными, и часть посетителей может зайти на них, набрав адрес по памяти, а также щёлкнув по ссылке в окне «О программе» используемого приложения либо найдя их с помощью поисковых систем. Узнать, в каких случаях перенаправление будет идти на страницы, которые загружают вредоносное ПО, невозможно, и предотвратить опасные переходы самостоятельно, без помощи защитного решения, пользователь не может», — говорит Дмитрий Кондратьев, эксперт по кибербезопасности в «Лаборатории Касперского».

Чтобы снизить риск заражения троянцами через сайты-заглушки, «Лаборатория Касперского» рекомендует:

  • скачивать программы и обновления только из официальных источников;
  • использовать надёжное защитное решение, такое как Kaspersky Security Cloud с функцией антифишинга, которая предотвращает перенаправления на подозрительные страницы.

 

Более подробно о схеме распространения вредоносного ПО через домены можно прочитать по ссылке: https://securelist.ru/redirect-auction/96204/.

 

*Данные на основе анонимизированной статистики срабатывания решений «Лаборатории Касперского» за период с марта 2019 года по февраль 2020 года

Поделиться:
Спецпроект

Форум «ИТОПК-2020» оценил потенциал господдержки

Подробнее
Спецпроект

Напряженный трафик или Современные требования к инфраструктуре ЦОД

Подробнее

Подпишитесь
на нашу рассылку