Odborníci varujú pred neaktívnymi doménami, ktoré môžu presmerovať na škodlivé stránky

BRATISLAVA - Domény, za ktoré prestanú spoločnosti platiť, sa často dostávajú na akčné stránky s tým, že sú na predaj. Na tie sú používatelia presmerovaní, keď sa usilujú neaktívnu webstránku navštíviť, aby zistili, že je na predaj. Takéto presmerovanie však dokážu zneužiť podvodníci, ktorí ho nahradia napríklad škodlivým odkazom a s pomocou rafinovaného systému infikujú používateľov alebo sa na nich obohacujú. Experti zo spoločnosti Kaspersky odhalili viac ako tisícku takýchto neaktívnych domén, ktoré presmerujú používateľov na nežiaduce, mnohokrát škodlivé, adresy.

Odborníci z Kaspersky pri skúmaní pomocného nástroja pre populárnu online hru objavili pokus aplikácie presmerovať ich na nechcenú URL adresu. Táto adresa bola uvedená na aukčnej stránke, že je na predaj. Namiesto presmerovania na adresu reálnej aukčnej stránky, však poslalo toto druhostupňové presmerovanie používateľov na inú webstránku, ktorá sa nachádzala na čiernej listine.

Dodatočná analýza odhalila približne 1000 webových stránok ponúkaných na predaj na rôznych aukčných platformách. Týchto tisíc stránok poslalo v druhej fáze presmerovania používateľov na viac ako 2 500 nežiaducich URL adries. Mnohé z nich pritom sťahujú trójskeho koňa Shlayer, ktorý predstavuje rozšírenú hrozbu pre operačný systém macOS, na infikovaných zariadeniach inštaluje advér a šíri sa prostredníctvom webových stránok so škodlivým obsahom.

Na stránky súvisiace s reklamami viedlo od marca 2019 do februára 2020 až 89 percent daných druhostupňových presmerovaní. Zvyšných 11 percent bolo škodlivých, pričom ponúkali inštaláciu škodlivého softvéru, stiahnutie infikovaných dokumentov alebo obsahovali škodlivý kód.

Odborníci predpokladajú, že tento viacvrstvový systém má finančný charakter - za smerovanie návštevnosti na webové stránky, legitímne i škodlivé, podvodníci získavajú príjmy. Kyberzločinci pravdepodobne dostanú platbu na základe počtu návštev. Napríklad na jednu z odhalených škodlivých stránok viedlo len za 10 dní v priemere 600 presmerovaní. V prípade trojana Shlayer dostali jeho distribútori platbu za každú inštaláciu na zariadení.

"Žiaľ, nie je toho veľa, čo by mohli používatelia urobiť, aby sa vyhli presmerovaniu na škodlivú stránku. Domény, na ktorých sa tieto presmerovania nachádzajú, boli v istej chvíli legitímnymi zdrojmi, pravdepodobne tými, ktoré používatelia v minulosti často navštevovali. Neexistuje žiaden spôsob ako zistiť, či v súčasnosti nedochádza k presmerovaniu návštevníkov na stránky, ktoré sťahujú malvér. Osobitnou výzvou je aj skutočnosť, že to, či používateľ bude alebo nebude presmerovaný na škodlivú webstránku, závisí od viacerých faktorov. Ak jedného dňa navštívite nejakú stránku z Ruska, nič sa nemusí stať. Ak sa ju však následne pokúsite navštíviť cez VPN, môže vás presmerovať na stránku, ktorá stiahne malvér Shlayer. Vo všeobecnosti sú tieto malvertising schémy zložité, a teda aj celkom náročné na odhalenie, takže najlepšou ochranou je komplexné bezpečnostné riešenie na vašom zariadení," vyjadril sa na margo škodlivých webov generálny riaditeľ spoločnosti Kaspersky pre východnú Európu Miroslav Kořen.

Je pravdepodobné, že tento podvod je výsledkom nedostatkov vo filtrovaní reklám pre modul, ktorý zobrazuje obsah reklamnej siete tretej strany, konštatuje Kaspersky. Používateľom odporúča, aby si pre zníženie rizika infikovania inštalovali programy a aktualizácie iba z dôveryhodných zdrojov a používali spoľahlivé bezpečnostné riešenie.