Аналитики «Лаборатории Касперского» обнаружили необычную схему распространения вредоносного ПО. Злоумышленники используют более тысячи неактивных доменов для для перенаправления пользователей на нежелательные и вредоносные сайты. Исследователи рассказывают, что давно обращали внимание на ссылки под старыми роликами на YouTube или в статьях «Википедии», которые в какой-то момент становились вредоносными и начинали вести на страницы партнерских программ, фишинговые сайты или загрузку малвари. Складывалось впечатление, что злоумышленники целенаправленно выкупали домены, но такой сценарий всегда казался специалистам чересчур сложным. Изучив поведение легитимной программы-ассистента для Ultima Online, Razor Enhanced, когда та вдруг начала обращаться к вредоносному URL, исследователи наконец сумели разобраться в том, как работает данная схема. Так как ничего подозрительного в коде самой программы найдено не было, стало ясно, что проблема на другой стороне. Перейдя на сайт, к которому обращалась Razor Enhanced, эксперты обнаружили там заглушку одного из популярных доменных аукционов, гласящую, что данный домен можно приобрести. Изучив данные WHOIS, они узнали, что владелец домена не оплатил доменное имя, и оно было куплено с помощью сервиса, отслеживающего освобождающиеся домены, а затем выставлено на продажу на аукционной площадке. Так, ч­тобы продать домен на аукционе, его сначала необходимо запарковать на DNS-серверы торговой площадки, где он будет находиться до момента передачи новому владельцу. Те же, кто попытается зайти на сайт, увидят ту самую заглушку. Понаблюдав за этой страницей, специалисты заметили, что время от времени посетитель, изначально заходящий на уже неработающий сайт разработчика приложения, попадал не на заглушку аукциона, а на вредоносный ресурс (что, собственно, и произошло с программой Razor Enhanced, когда она решила проверить обновления). Далее выяснилось, что сайт-заглушка перенаправляет посетителя не на какой-то конкретный ресурс, а на разные сайты. В том числе на сайты партнерских сетей. Более того, тип редиректа может меняться в зависимости от страны и User-agent: при заходе с устройства c macOS жертва имеет шанс отправиться на страницу, с которой скачивается троян­ Shlayer. Проверив список адресов, с которых скачивался Shlayer, аналитики обнаружили, что большинство доменных имен были­ выставлены на аукцион на той же торговой площадке. Решив проверить запросы к одному из ресурсов, на которые пеернаправляла пользователей Razor Enhanced, специалисты выяснили, что на тот же адрес отправляют своих посетителей еще около ста заглушек той же торговой площадки. Всего за время исследования была найдено около 1000 подобных страниц, но исследователи замечают, что на самом деле их может быть гораздо больше. В общей сложности с найденной тысячи страниц перенаправления шли более чем на 2500 нежелательных сайтов.­ В период с марта 2019 года по февраль 2020 года 89% сайтов, куда переадресовывались запросы со страниц-заглушек, являлись рекламными. Остальные 11% представляли куда более серьезную опасность: там пользователю предлагали установить вредоносное ПО, скачать вредоносные документы MS Office, PDF-документы со ссылками на мошеннические ресурсы и так далее. Исследователи предполагают, что одна из статей дохода стоящих за этой кампанией злоумышленников — заработок посредством генерации трафика на страницы партнерских программ, как рекламных, так и вредоносных. К примеру, на один из таких ресурсов за десять дней совершается (в среднем) около 600 редирект-запросов от программ, которые, подобно Razor Enhanced, пытаются обратиться к сайту разработчика. В случае с трояном Shlayer оплата, по всей видимости, производилась за каждую установку. По мнению экспертов, скорее всего за вредоносные редиректы отвечает модуль, демонстрирующий контент сторонней рекламной сети. Вредоносный трафик мог появиться по причине отсутствия фильтрации рекламных объявлений или использования злоумышленниками уязвимостей в рекламном модуле (или самой торговой площадке) с целью изменения настроек и подмены редиректов. Подводя итог, исследователи пишут, что, вероятно, они натолкнулись на довольно остроумно организованную (и, предположительно, управляемую) сеть, которая может «лить трафик» на ресурсы злоумышленников, используя при этом редиректы с легитимных доменных имен и ресурсы одного из крупнейших и старейших доменных аукционов (название не раскрывается). «Это сложная схема, поскольку сами по себе домены, которые используют злоумышленники, являются легитимными, и часть посетителей может зайти на них, набрав адрес по памяти, а также щелкнув по ссылке в окне «О программе» используемого приложения либо найдя их с помощью поисковых систем. Узнать, в каких случаях перенаправление будет идти на страницы, которые загружают вредоносное ПО, невозможно, и предотвратить опасные переходы самостоятельно, без помощи защитного решения, пользователь не может», — говорит Дмитрий Кондратьев, эксперт по кибербезопасности в «Лаборатории Касперского».