Малварь распространяется через неактивные домены - «Новости» » Самоучитель CSS
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
13-07-2020, 12:02
Малварь распространяется через неактивные домены - «Новости»
Рейтинг:
Категория: Новости

Аналитики «Лаборатории Касперского» обнаружили необычную схему распространения вредоносного ПО. Злоумышленники используют более тысячи неактивных доменов для для перенаправления пользователей на нежелательные и вредоносные сайты.


Исследователи рассказывают, что давно обращали внимание на ссылки под старыми роликами на YouTube или в статьях «Википедии», которые в какой-то момент становились вредоносными и начинали вести на страницы партнерских программ, фишинговые сайты или загрузку малвари. Складывалось впечатление, что злоумышленники целенаправленно выкупали домены, но такой сценарий всегда казался специалистам чересчур сложным.


Изучив поведение легитимной программы-ассистента для Ultima Online, Razor Enhanced, когда та вдруг начала обращаться к вредоносному URL, исследователи наконец сумели разобраться в том, как работает данная схема.


Так как ничего подозрительного в коде самой программы найдено не было, стало ясно, что проблема на другой стороне. Перейдя на сайт, к которому обращалась Razor Enhanced, эксперты обнаружили там заглушку одного из популярных доменных аукционов, гласящую, что данный домен можно приобрести. Изучив данные WHOIS, они узнали, что владелец домена не оплатил доменное имя, и оно было куплено с помощью сервиса, отслеживающего освобождающиеся домены, а затем выставлено на продажу на аукционной площадке.


Так, ч­тобы продать домен на аукционе, его сначала необходимо запарковать на DNS-серверы торговой площадки, где он будет находиться до момента передачи новому владельцу. Те же, кто попытается зайти на сайт, увидят ту самую заглушку.


Понаблюдав за этой страницей, специалисты заметили, что время от времени посетитель, изначально заходящий на уже неработающий сайт разработчика приложения, попадал не на заглушку аукциона, а на вредоносный ресурс (что, собственно, и произошло с программой Razor Enhanced, когда она решила проверить обновления). Далее выяснилось, что сайт-заглушка перенаправляет посетителя не на какой-то конкретный ресурс, а на разные сайты. В том числе на сайты партнерских сетей. Более того, тип редиректа может меняться в зависимости от страны и User-agent: при заходе с устройства c macOS жертва имеет шанс отправиться на страницу, с которой скачивается троян­ Shlayer.


Проверив список адресов, с которых скачивался Shlayer, аналитики обнаружили, что большинство доменных имен были­ выставлены на аукцион на той же торговой площадке. Решив проверить запросы к одному из ресурсов, на которые пеернаправляла пользователей Razor Enhanced, специалисты выяснили, что на тот же адрес отправляют своих посетителей еще около ста заглушек той же торговой площадки.


Всего за время исследования была найдено около 1000 подобных страниц, но исследователи замечают, что на самом деле их может быть гораздо больше. В общей сложности с найденной тысячи страниц перенаправления шли более чем на 2500 нежелательных сайтов.­


В период с марта 2019 года по февраль 2020 года 89% сайтов, куда переадресовывались запросы со страниц-заглушек, являлись рекламными. Остальные 11% представляли куда более серьезную опасность: там пользователю предлагали установить вредоносное ПО, скачать вредоносные документы MS Office, PDF-документы со ссылками на мошеннические ресурсы и так далее.


Исследователи предполагают, что одна из статей дохода стоящих за этой кампанией злоумышленников — заработок посредством генерации трафика на страницы партнерских программ, как рекламных, так и вредоносных. К примеру, на один из таких ресурсов за десять дней совершается (в среднем) около 600 редирект-запросов от программ, которые, подобно  Razor Enhanced, пытаются обратиться к сайту разработчика. В случае с трояном Shlayer оплата, по всей видимости, производилась за каждую установку.


По мнению экспертов, скорее всего за вредоносные редиректы отвечает модуль, демонстрирующий контент сторонней рекламной сети. Вредоносный трафик мог появиться по причине отсутствия фильтрации рекламных объявлений или использования злоумышленниками уязвимостей в рекламном модуле (или самой торговой площадке) с целью изменения настроек и подмены редиректов.


Подводя итог, исследователи пишут, что, вероятно, они натолкнулись на довольно остроумно организованную (и, предположительно, управляемую) сеть, которая может «лить трафик» на ресурсы злоумышленников, используя при этом редиректы с легитимных доменных имен и ресурсы одного из крупнейших и старейших доменных аукционов (название не раскрывается).


«Это сложная схема, поскольку сами по себе домены, которые используют злоумышленники, являются легитимными, и часть посетителей может зайти на них, набрав адрес по памяти, а также щелкнув по ссылке в окне «О программе» используемого приложения либо найдя их с помощью поисковых систем. Узнать, в каких случаях перенаправление будет идти на страницы, которые загружают вредоносное ПО, невозможно, и предотвратить опасные переходы самостоятельно, без помощи защитного решения, пользователь не может», — говорит Дмитрий Кондратьев, эксперт по кибербезопасности в «Лаборатории Касперского».


Аналитики «Лаборатории Касперского» обнаружили необычную схему распространения вредоносного ПО. Злоумышленники используют более тысячи неактивных доменов для для перенаправления пользователей на нежелательные и вредоносные сайты. Исследователи рассказывают, что давно обращали внимание на ссылки под старыми роликами на YouTube или в статьях «Википедии», которые в какой-то момент становились вредоносными и начинали вести на страницы партнерских программ, фишинговые сайты или загрузку малвари. Складывалось впечатление, что злоумышленники целенаправленно выкупали домены, но такой сценарий всегда казался специалистам чересчур сложным. Изучив поведение легитимной программы-ассистента для Ultima Online, Razor Enhanced, когда та вдруг начала обращаться к вредоносному URL, исследователи наконец сумели разобраться в том, как работает данная схема. Так как ничего подозрительного в коде самой программы найдено не было, стало ясно, что проблема на другой стороне. Перейдя на сайт, к которому обращалась Razor Enhanced, эксперты обнаружили там заглушку одного из популярных доменных аукционов, гласящую, что данный домен можно приобрести. Изучив данные WHOIS, они узнали, что владелец домена не оплатил доменное имя, и оно было куплено с помощью сервиса, отслеживающего освобождающиеся домены, а затем выставлено на продажу на аукционной площадке. Так, ч­тобы продать домен на аукционе, его сначала необходимо запарковать на DNS-серверы торговой площадки, где он будет находиться до момента передачи новому владельцу. Те же, кто попытается зайти на сайт, увидят ту самую заглушку. Понаблюдав за этой страницей, специалисты заметили, что время от времени посетитель, изначально заходящий на уже неработающий сайт разработчика приложения, попадал не на заглушку аукциона, а на вредоносный ресурс (что, собственно, и произошло с программой Razor Enhanced, когда она решила проверить обновления). Далее выяснилось, что сайт-заглушка перенаправляет посетителя не на какой-то конкретный ресурс, а на разные сайты. В том числе на сайты партнерских сетей. Более того, тип редиректа может меняться в зависимости от страны и User-agent: при заходе с устройства c macOS жертва имеет шанс отправиться на страницу, с которой скачивается троян­ Shlayer. Проверив список адресов, с которых скачивался Shlayer, аналитики обнаружили, что большинство доменных имен были­ выставлены на аукцион на той же торговой площадке. Решив проверить запросы к одному из ресурсов, на которые пеернаправляла пользователей Razor Enhanced, специалисты выяснили, что на тот же адрес отправляют своих посетителей еще около ста заглушек той же торговой площадки. Всего за время исследования была найдено около 1000 подобных страниц, но исследователи замечают, что на самом деле их может быть гораздо больше. В общей сложности с найденной тысячи страниц перенаправления шли более чем на 2500 нежелательных сайтов.­ В период с марта 2019 года по февраль 2020 года 89% сайтов, куда переадресовывались запросы со страниц-заглушек, являлись рекламными. Остальные 11% представляли куда более серьезную опасность: там пользователю предлагали установить вредоносное ПО, скачать вредоносные документы MS Office, PDF-документы со ссылками на мошеннические ресурсы и так далее. Исследователи предполагают, что одна из статей дохода стоящих за этой кампанией злоумышленников — заработок посредством генерации трафика на страницы партнерских программ, как рекламных, так и вредоносных. К примеру, на один из таких ресурсов за десять дней совершается (в среднем) около 600 редирект-запросов от программ, которые, подобно Razor Enhanced, пытаются обратиться к сайту разработчика. В случае с трояном Shlayer оплата, по всей видимости, производилась за каждую установку. По мнению экспертов, скорее всего за вредоносные редиректы отвечает модуль, демонстрирующий контент сторонней рекламной сети. Вредоносный трафик мог появиться по причине отсутствия фильтрации рекламных объявлений или использования злоумышленниками уязвимостей в рекламном модуле (или самой торговой площадке) с целью изменения настроек и подмены редиректов. Подводя итог, исследователи пишут, что, вероятно, они натолкнулись на довольно остроумно организованную (и, предположительно, управляемую) сеть, которая может «лить трафик» на ресурсы злоумышленников, используя при этом редиректы с легитимных доменных имен и ресурсы одного из крупнейших и старейших доменных аукционов (название не раскрывается). «Это сложная схема, поскольку сами по себе домены, которые используют злоумышленники, являются легитимными, и часть посетителей может зайти на них, набрав адрес по памяти, а также щелкнув по ссылке в окне «О программе» используемого приложения либо найдя их с помощью поисковых систем. Узнать, в каких случаях перенаправление будет идти на страницы, которые загружают вредоносное ПО, невозможно, и предотвратить опасные переходы самостоятельно, без помощи защитного решения, пользователь не может», — говорит Дмитрий Кондратьев, эксперт по кибербезопасности в «Лаборатории Касперского».

Теги: CSS

Просмотров: 485
Комментариев: 0:   13-07-2020, 12:02
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: