Amikor a vállalatok már nem fizetnek elő többé a domainjükre, azokat sok esetben megveszi egy szolgáltató, és eladásra kínálja egy aukciós oldalon. Az inaktív weboldalra látogatókat aztán az aukciós csonkra irányítják át, ahol azt látják, hogy a domain éppen eladó – vagy legalábbis ezt kéne látniuk. Azonban, ha a csonkot valami mással – például egy rosszindulatú linkkel – helyettesítik, a csalók ezzel az alattomos módszerrel megfertőzhetik a felhasználók eszközeit, vagy profitra tehetnek szert a felhasználó kárára.
Egy népszerű online játék asszisztens eszközének vizsgálata során a Kaspersky kutatói felfedezték, hogy az alkalmazás egy nem kívánt URL-re próbálja őket átirányítani. Kiderült, hogy ezt az URL-t eladásra hirdették meg egy aukciós oldalon. Azonban a megfelelő csonkoldalra való átirányítás helyett ez a második lépcsős átirányítás egy másik feketelistás oldalra vitte a felhasználókat.
A további elemzés során még nagyjából 1000, különféle aukciós oldalakon eladásra kínált weboldalt fedeztek fel. Az átirányítás második lépcsőjében ez az 1000 oldal több mint 2500 nem kívánt URL-re irányította át a felhasználókat. Ezek között az URL-ek között sok olyan van, amelyik a Shlayer trójai vírust tölti le –
A 2019. március és a 2020. február közötti időszakban a második lépcsős átirányítások 89%-a hirdetéssel kapcsolatos oldalakra vitte a felhasználókat, 11%-uk pedig rosszindulatú volt: a felhasználókat vagy malware feltelepítésére, vagy fertőzött MS Office vagy PDF-dokumentumok letöltésére utasították, vagy maguk az oldalak tartalmaztak rosszindulatú kódot.
A szakemberek szerint a többrétegű csalásos módszer mögött pénzügyi indokok állhatnak: a csalók bevételre tesznek szert azzal, hogy forgalmat irányítanak az oldalakra – mind a törvényesekre, mind a rosszindulatúakra. Ezt úgy hívjuk, hogy rosszindulatú hirdetési tevékenység. Az egyik felfedezett rosszindulatú oldalra például mindössze tíz nap alatt átlagosan 600 átirányítás érkezett – a bűnözőket nagy valószínűséggel a látogatószám alapján fizetik. A Shlayer esetében a malware-t terjesztők minden egyes telepítés után kaptak fizetséget. Valószínűsíthető, hogy ezt a fajta csalást a harmadik fél hirdetési hálózatának tartalmát megjelenítő modul hirdetésszűrőjének hibái teszik lehetővé.
A felhasználók sajnos nem sokat tehetnek az ellen, ha egy rosszindulatú oldalra irányítsák át őket. Az átirányítást alkalmazó domainek ugyanis valamikor törvényes források voltak, talán pont azok, amelyeket a felhasználók korábban sűrűn látogattak. És persze nem lehet tudni, hogy ezek most olyan oldalakra irányítják-e át a látogatókat, amelyek malware-eket töltenek le. További nehézséget jelent az is, hogy teljesen változó, hogy az ember rosszindulatú oldalra jut-e vagy sem: ha egyik nap Oroszországból látogat az oldalra, semmi sem történik. Ha azonban utána VPN használatával megy fel az oldalra, lehet, hogy egy olyan oldalra kerül, amelyik a Shlayert tölti le. Az ilyen rosszindulatú hirdetéses módszerek általában komplexek, ezért nehéz teljes egészében feltárni őket, a legjobban tehát úgy védekezhetünk, ha átfogó védelmet biztosító biztonsági megoldást telepítünk az eszközünkre”
– tette hozzá Dmitrij Kondratyev, junior malware-elemző.
A rosszindulatú oldalakról származó trójai vírusok, mint például a Shlayer okozta fertőzés kockázatának csökkentésére a Kaspersky szakemberei azt javasolják, hogy csak megbízható forrásokból telepítsünk programokat és frissítéseket, és mindig használjunk adathalászat ellen védő funkciót is tartalmazó biztonsági szoftvert.
(Kiemelt kép: GettyImages)