Os pesquisadores da Kaspersky descobriram mais de mil domínios inativos que, quando visitados, redirecionam os visitantes para outros endereços como forma de obter lucro. Porém, muitas dessas páginas de destino foram detectadas como maliciosas. Os domínios comprometidos estão à venda em um dos maiores e mais antigos sites de leilão de domínio do mundo.
Quando as empresas param de pagar por seu domínio, às vezes eles são comprados por um serviço e colocados à venda em um site de leilão. Aqueles que tentam visitar o site inativo são então redirecionados para a página do leilão, onde veem que o domínio está à venda. No entanto, os fraudadores substituíram o endereço de destino por um link malicioso, criando um esquema para infectar usuários ou gerar lucros às custas dos usuários.
Ao investigar um assistente de um jogo popular, os pesquisados da Kaspersky detectaram a tentativa de transferência para um endereço indesejado, e foi assim que a empresa descobriu que a URL estava listada para venda em um dos maiores e mais antigos sites de leilão do mundo. No entanto, em vez de redirecionar para o site de leilão correto, levava para uma página suspeita ou maliciosa (denylist).
Uma análise posterior mostrou que havia cerca de 1.000 sites à venda na plataforma de leilão e eles direcionavam os usuários para mais de 2.500 endereços indesejados. Muitos deles baixam o trojan Shlayer – uma ameaça para o sistema Mac que instala adware nos dispositivos infectados.
Entre o período de março de 2019 e fevereiro de 2020, 89% dos redirecionamentos enviavam o internauta para páginas de anúncios, enquanto 11% deles eram maliciosos. Entre as técnicas de infecção mais comuns, estavam o download direto de malware, documentos do MS Office ou PDF comprometidos ou as próprias páginas continham códigos mal-intencionados.
De acordo com especialistas, o método com diversas camadas por trás desse esquema perspicaz deve ter natureza financeira: os fraudadores recebem receita para direcionar o tráfego para as páginas – tanto aquelas que mostram publicidade legítima, quanto aquelas maliciosas. Isso é conhecido como malvertising.
Uma das páginas maliciosas descobertas, por exemplo, recebeu uma média de 600 redirecionamentos em apenas dez dias – muito provavelmente, os criminosos recebem um pagamento com base no número de visitas. No caso do trojan Shlayer, quem distribui o malware recebe um pagamento por cada instalação em um dispositivo. É provável que a atividade maliciosa seja resultado de uma falha no mecanismo de impressão de anúncios usado para direcionar o tráfego dos usuários.
“Infelizmente, há pouco o que os usuários podem fazer para evitar serem redirecionados para uma página maliciosa neste esquema. Os domínios que fazem esses redirecionamentos são legítimos, endereços que os usuários visitavam com frequência no passado. E não há como saber quando eles passam a direcionar seu tráfego para páginas maliciosas. Além disso, não é possível saber quando o usuário cairá em um site fraudulento, pois um dia o direcionamento pode levar a um site legítimo, mas caso use uma VPN, poderá cair em uma página para baixar o trojan Shlayer. Em geral, esquemas de malvertising como esses são complexos, tornando-os difíceis de serem totalmente descobertos e a melhor defesa é ter uma solução de segurança no dispositivo”, afirma Dmitry Kondratyev, analista de Malware da Kaspersky.
Para reduzir o risco de infecção por malware em golpes como esse, os especialistas da Kaspersky recomendam:
• Instale programas e atualizações de software apenas fontes confiáveis;
• Tenha uma solução de segurança no dispositivo, como o Kaspersky Security Cloud, que oferece recursos contra phishing e evitará o redirecionamento para páginas suspeitas.
