Quando as empresas deixam de pagar pelo seu domínio de Internet, por vezes estes podem ser comprados por um serviço e colocados à venda num site de leilão. No entanto, existem inúmeros que estão a ser captados por cibercriminosos para criar esquemas maliciosos de forma a obter lucros.
Numa investigação foram detetados mais de mil domínios inativos que redirecionam os visitantes para páginas identificadas como perigosas.
Há um momento em que alguns domínios de Internet deixam de ser pagos. O que acontecer é que, nestes casos, podem ser comprados por um serviço e colocados à venda num site de leilão, os chamados auction sites.
Assim, os utilizadores que tentam visitar a página inativa são redirecionados para uma plataforma de leilão percebendo assim que o domínio está à venda (ou, pelo menos, deveria estar). No entanto, ao substituir o stub (fragmento de código) por um link malicioso, por exemplo, os cibercriminosos podem criar um esquema para infetar os utilizadores ou gerar lucros à sua custa.
Mais de mil URLs redirecionam para páginas potencialmente perigosas
Ao analisar uma ferramenta de assistência de um popular jogo online, investigadores da Kaspersky detetaram que a aplicação tentava transferi-los para um URL indesejado. Verificou-se depois que esta hiperligação estava à venda num site de leilão. No entanto, em vez de redirecionar os utilizadores para a página correta que exibe o domínio para venda, o redirecionamento encaminhava-os para uma outra página.
Uma análise mais profunda fez com que se encontrassem mais de mil domínios colocados à venda em várias plataformas de leilão. Estas cerca de mil páginas reencaminhavam os utilizadores para mais de 2500 URLs indesejados, sendo que muitos deles descarregaram o trojan Shlayer.
O trojan Shlayer trata-se de uma ameaça para macOS generalizada que instala adware nos dispositivos infetados e é distribuída por páginas web com conteúdo malicioso.
Entre março de 2019 e fevereiro de 2020, 89% destes redirecionamentos foram feitos para páginas relacionadas com publicidade e 11% páginas de malware. Os utilizadores, nestas páginas, foram solicitados a instalar malware ou a descarregar documentos MS Office e PDF infetados. Noutros casos, as próprias páginas continham código malicioso.
De acordo com a Kaspersky, o raciocínio por detrás deste esquema de várias camadas pode ser de natureza financeira: os hackers recebem receitas por conduzir o tráfego para páginas – tanto para aquelas que são páginas de publicidade legítima como para aquelas que são maliciosas.
O malvertising
Esta tática é conhecida como “malvertising” (publicidade enganosa). Por exemplo, uma das páginas maliciosas descobertas recebeu, em média, 600 redirecionamentos em apenas 10 dias. Neste caso, é o mais provável é que os criminosos recebam um pagamento com base no número de visitas gerado. Já no caso do trojan Shlayer, os hackers que distribuem o malware receberam um pagamento por cada instalação num dispositivo.
Estima-se que este esquema de ataque também seja resultado de uma falha na filtragem do anúncio do módulo que exibe o conteúdo da rede de anúncios de terceiros.