Специалисты компании Kaspersky ранее неоднократно говорили о том, что ссылки под некоторыми видеороликами на YouTube и в статьях «Википедии» через некоторое время становятся вредоносными и ведут на веб-страницы партнерского ПО, фишинговые ресурсы и даже на скачивание вредоносного софта.
Изначально предполагалось, что киберпреступники выкупали домены, но данный сценарий казался экспертам Kaspersky чересчур сложным. Спустя некоторое время на примере одной старой программы удалось выяснить, как ссылки превращаются во вредоносные.
Razor Enhanced, софт-ассистент для Ultima Online, привлек внимание специалистов Kaspersky после обращения к вредоносному URL.
В коде самого софта ничего подозрительно обнаружено не было. Но после перехода на ресурс, к которому Razor Enhanced обращалась, была найдена заглушка одного из востребованных доменных аукционов, согласно которой стала ясна возможность покупки этого домена.
Просмотрев WHOIS, эксперты Kaspersky выяснили, что владелец домена не заплатил вовремя за продление, поэтому домен был выкуплен с использованием сервиса, который отслеживает освободившиеся домены, после чего его выставили на продажу на площадке с аукционами.
Для реализации домена на аукционе его требуется запарковать на DNS-серверы площадки, откуда его уже заберет новый владелец. При входе на сайт отображается стандартная заглушка.
Эксперты Kaspersky, проследив за доменом Razor Enhanced, выяснили, что посетители, заходя на нерабочий сайт компании-разработчика, в ряде случаев попадают не на заглушку, а на вредоносный сайт. Было обнаружено, что ресурс-заглушка перенаправляет пользователей на различные сайты, в т. ч. и порталы партнерских сетей. При этом разновидность редиректа изменяется с учетом страны пользователя и User-agent. В некоторых случаях пользователя и вовсе отправляют на страницу со скачиванием вируса-трояна Shlayer.
Специалисты Kaspersky проверили перечень адресов, с которых скачивается вирус, и обнаружили, что большая часть доменов продается на аукционе на той же площадке. После чего эксперты проверили запросы к одному из сайтов, на который выполняется редирект пользователей софта Razor Enhanced, и выяснили, что на этот же адрес пользователей отправляют и сотни других заглушек данной торговой площадки. За время изучения вопроса было найдено около тысячи таких веб-страниц, но в реальности их намного больше.
Также было выяснено, что в период с 03.2019 по 02.2019 около 89% ресурсов, куда выполнялась переадресация запросов с заглушек, были чисто рекламными. Другие же сайты представляли опасность – там посетителям предлагалась установка вредоносного софта, скачивание вредоносных файлов MS Office и PDF со ссылками на мошеннические сайты.
Специалисты Kaspersky предполагают, что киберпреступники таким образом зарабатывают деньги на генерации веб-трафика на страницы партнерских программ – и рекламных, и вредоносных.
С полной версией исследования можно ознакомиться по этой ссылке.
