Cómo los nombres de dominio caducados pueden redirigirlo a sitios website maliciosos


Los ciberdelincuentes pueden explotar las páginas de nombres de dominio inactivos para llevarlo a sitios maliciosos, dice Kaspersky.

concepto-de-malware-notificación-o-error-alerta-alerta-roja-de-spam-vector-id1142226935.jpg

Imagen: danijelala, Getty Photographs / iStockPhoto

La mayoría de nosotros en algún momento probablemente hemos intentado abrir un sitio internet solo para descubrir que el sitio ya no existe, reemplazado por una página de inicio que indica que el dominio ha expirado o está en proceso de renovación. En algunos casos, la página resultante simplemente contiene enlaces relacionados con el sitio caducado. En otros casos, la página está alojada en un sitio de subastas que busca vender el nombre de dominio vencido.

VER: Plan de respuesta a incidentes de malware (TechRepublic Top quality)

Normalmente, este tipo de páginas de destino o de subasta parecen ser benignas con enlaces a otros sitios que se suponen legítimos. Pero un informe publicado el miércoles del proveedor de seguridad Kaspersky explica que puede haber malware al acecho detrás de algunas de estas páginas aparentemente benignas.

Al investigar una aplicación para un juego en línea, los investigadores de Kaspersky descubrieron que la aplicación intentaba redirigirlos a una URL no deseada e inesperada, que estaba a la venta en un sitio de subastas. Sin embargo, en lugar de llevar a las personas al sitio de código auxiliar correcto, la redirección de la segunda etapa los llevó a una página en la lista negra.

Tras un análisis más detallado, Kaspersky descubrió alrededor de 1,000 sitios website a la venta del mismo servicio de subastas. La segunda etapa de redireccionamiento para estos sitios llevó a los usuarios a más de 2,500 URL no deseadas. Y muchas de estas URL se configuraron para descargar el Troyano Shlayer, una pieza desagradable de malware que intenta instalar adware en computadoras Mac.

stub-page-expired-domain-kaspersky.jpg "src =" https://tr1.cbsistatic.com/hub/i/r/2020/07/09/58c148c7-4d07-45c9-936d-20c9c01a225b/resize/770x /d4ef6adf5857a0dee1a0538bb943dff3/stub-page-expired-domain-kaspersky.jpg

Stub site para el dominio a la venta.

Imagen: Kaspersky

Al observar la actividad desde marzo de 2019 hasta febrero de 2020, Kaspersky determinó que el 89% de estos redireccionamientos de segunda etapa fueron a páginas relacionadas con anuncios, mientras que el 11% a páginas maliciosas. En algunos casos, las páginas contenían código malicioso. En otros casos, se solicitó a los usuarios que instalaran malware o descargaran documentos infectados de Microsoft Business y archivos PDF.

Como de costumbre, la ganancia es el objetivo remaining. Las personas reciben dinero por dirigir a los usuarios a ciertas páginas, ya sean páginas publicitarias legítimas o maliciosas (una práctica conocida como malvertising) Una de las páginas maliciosas recibió 600 redirecciones en promedio en solo diez días. Con las páginas que intentaron instalar el troyano Shlayer, los atacantes reciben un pago por cada instalación del malware en un dispositivo afectado.

La suposición de Kaspersky es que los delincuentes detrás de esta campaña son parte de una red bien organizada y presumiblemente administrada que puede desviar el tráfico a sitios world wide web maliciosos. Pudieron hacerlo utilizando redirecciones de nombres de dominio legítimos y explotando los recursos de un sitio de subastas de dominio conocido.

«Desafortunadamente, hay pocos usuarios que puedan hacer para evitar ser redirigidos a una página maliciosa», dijo Dmitry Kondratyev, analista de malware junior de Kaspersky, en un comunicado de prensa. «Los dominios que tienen estos redireccionamientos eran, en un punto, recursos legítimos, quizás aquellos que los usuarios visitaban con frecuencia en el pasado. Y no hay forma de saber si ahora están transfiriendo o no visitantes a páginas que descargan malware. En common, Los esquemas de publicidad maliciosa como estos son complejos, lo que los hace difíciles de descubrir por completo, por lo que su mejor defensa es tener una solución de seguridad integral en su dispositivo «.

Aunque este ataque en specific puede ser difícil de combatir, aún puede tomar medidas para evitar que los troyanos en general infecten sus dispositivos. Como tal, Kaspersky ofrece los siguientes consejos: 1) Instalar programas y actualizaciones solo de fuentes confiables 2) Use una solución de seguridad confiable con características anti-phishing que eviten los redireccionamientos a páginas sospechosas.

Ver también



Enlace a la noticia primary