Quando le aziende smettono di pagare per un dominio può succedere che vengano acquistati da alcuni servizi e messi in vendita su piattaforme di aste. In questi casi accade che quando gli utenti tentano di visitare il sito web inattivo vengono reindirizzati al sito di aste dove il dominio è stato apparentemente messo in vendita. Tuttavia, sostituendo lo stub con un link fraudolento ad esempio, i criminali possono mettere a punto uno schema per infettare gli utenti o per generare profitti a spese degli utenti stessi.
Nel corso di un’indagine su un tool di supporto di un noto gioco online, i ricercatori di Kaspersky hanno notato che un’applicazione tentava di reindirizzare gli utenti verso una URL indesiderata. I ricercatori hanno successivamente scoperto che la URL era tra quelle messe in vendita su un sito di aste. Tuttavia, invece di reindirizzare gli utenti al sito web corretto, questo secondo livello di reindirizzamento li trasferiva verso un’altra pagina precedentemente inserita nella nostra blacklist.
Da ulteriori analisi sono emersi circa 1.000 siti web messi in vendita su diversi siti di aste. Durante la seconda fase di re-direct, queste 1.000 pagine trasferivano gli utenti verso oltre 2.500 URL indesiderate. Molte di queste URL effettuavano il download del Trojan Shlayer, una minaccia macOS molto diffusa che installa adware sui dispositivi infetti e viene distribuita tramite pagine web che ospitano contenuti dannosi.
Tra marzo 2019 e febbraio 2020, l’89% dei trasferimenti di secondo livello dirottava gli utenti verso pagine ad-related, mentre l’11% verso pagine malevole. Agli utenti veniva richiesto di installare un malware o di fare il download di documenti infetti di MS Office o PDF. In alcuni casi, le pagine stesse contenevano un codice dannoso.
Secondo gli esperti, l’obiettivo alla base di questo schema era di natura economica. I criminali informatici ottenevano un guadagno veicolando il traffico da pagine pubblicitarie legittime verso quelle dannose. Questo schema prende il nome di “malvertising“. Una delle pagine malevole scoperte, ad esempio, ha ricevuto in media 600 re-direct in soli dieci giorni, facendo presumere agli esperti che i criminali ricevessero i compensi sulla base del numero di visite ottenute. Nel caso di Shlayer, i criminali informatici che si sono occupati di distribuire il malware hanno ricevuto un pagamento per ogni installazione ottenuta su un dispositivo.
È probabile che il successo di questa truffa sia dovuto alla presenza di falle nel modulo utilizzato per mostrare i contenuti provenienti da reti pubblicitarie di terze parti, il quale non filtra correttamente gli annunci dannosi.
“Purtroppo, esistono pochi accorgimenti che gli utenti possono adottare per evitare di essere reindirizzati a una pagina dannosa. I domini utilizzati in questi casi inizialmente erano risorse legittime che molto probabilmente venivano visitate spesso dagli utenti. Ora, purtroppo, non c’è modo di sapere se questi domini conducano i visitatori verso pagine malevole attraverso le quali avviene il download di un malware. A ciò si aggiunge il fatto che non è possibile stabilire a priori se si verrà reindirizzati a una pagina malevola oppure no. Potrebbe anche non esserci alcuna conseguenza se, ad esempio, si accedesse al sito dalla Russia. Se invece, ad esempio, si dovesse accedere da una VPN si potrebbe correre il rischio di essere rimandati a una pagina che scarica Shlayer. In generale, gli schemi di “malvertising” come questi sono complessi e difficili da scoprire, pertanto installare una soluzione di sicurezza sul proprio dispositivo rimane la migliore strategia”, ha dichiarato Dmitry Kondratyev, Junior Malware Analyst.
Maggiori informazioni sui link malevoli sono disponibili su Securelist.
Per ridurre il rischio di infezione da Trojan provenienti da siti malevoli, gli esperti di Kaspersky raccomandano di:
- Installare programmi e aggiornamenti solo da fonti affidabili
- Utilizzare una soluzione di sicurezza affidabile come Kaspersky Security Cloud con funzionalità Anti-Phishing che impedisca di essere reindirizzati su pagine sospette.
