大多数人可能试图打开过一个网站,结果发现该网站不再存在,取而代之的是一个登陆页面,表示该域已过期或准备续新。在一些情况下,页面仅含有与过期网站有关的链接。在其他情况下,页面由希望出售过期域名的拍卖网站托管。
通常,这种类型的登陆页面或拍卖页面看起来是良性的,链接指向被认为是合法的其他网站。但安全提供商卡巴斯基近日发布的一份报告解释,其中一些看似良性的页面背后可能隐藏着恶意软件。
卡巴斯基的研究人员在调查一款在线游戏的应用程序后发现,该应用程序试图将他们重定向至一个不需要的、出人意外的URL,该URL在拍卖网站上挂牌出售。然而,第二阶段的重定向并未将人引到正确的存根网站,而是引到了被列入黑名单的网页。
卡巴斯基进一步分析后发现,同一拍卖服务有大约1000个待售的网站。这些网站的重定向第二阶段将用户引至2500多个不需要的URL。许多这些URL经过了设置,可以下载Shlayer特洛伊木马,这个臭名昭著的恶意软件企图在Mac计算机上安装广告软件。
图1. 待售域名的存根页面
卡巴斯基分析2019年3月到2020年2月的活动后确定,这些第二阶段重定向中89%指向了与广告有关的页面,而11%指向了恶意页面。在一些情况下,页面本身含有恶意代码。在其他情况下,系统提示用户安装恶意软件或下载受感染的微软Office文档和PDF文件。
与往常一样,获利是最终目标。人们通过将用户吸引到某些页面拿到分成,这些页面有的是合法的广告页面,有的是恶意页面(这种做法名为恶意广告)。其中一个恶意页面在短短十天内平均收到600次重定向。由于页面企图安装Shlayer特洛伊木马,恶意软件每次安装在受影响的设备上,攻击者就能拿到分成。
卡巴斯基认为,该活动背后的犯罪分子隶属一个组织严密、精心管理的网络,该网络可以将流量引到恶意网站。他们做到这一点采用的手法是,使用来自合法域名的重定向,并充分利用已知域名拍卖网站的资源。
卡巴斯基的初级恶意软件分析师Dmitry Kondratyev在新闻稿中说:“遗憾的是,用户想避免被重定向至恶意页面,基本上无能为力。重定向的域名曾是合法资源,也许是过去用户经常访问的资源。也无法知道它们现在是否将访客转移到下载恶意软件的页面。通常而言,诸如此类的恶意广告花招很复杂,很难完全发现它们,因此你最好的防御方法是在设备上有一种全面的安全解决方案。”
虽说这种特殊的攻击可能很难对付,但是你仍可以采取一些措施,竭力阻止一般的特洛伊木马感染设备。因此,卡巴斯基提供了以下技巧:
- 仅从可信赖的来源安装程序和更新;
- 使用具有反网络钓鱼功能的可靠的安全解决方案,防止重定向至可疑页面。
转载请注明:IT运维空间 » 安全防护 » 过期的域名如何将你重定向至恶意网站?
发表评论