Мы уже обращали внимание на ссылки под старыми роликами на YouTube или в статьях «Википедии», которые в какой-то момент становились вредоносными и начинали вести на страницы партнерских программ, фишинговые сайты или даже на вредоносное ПО. Складывалось впечатление, что злоумышленники целенаправленно выкупали домены, но такой сценарий всегда казался нам слишком сложным. Недавно, обратив внимание на поведение одной не новой программы, мы выяснили, как происходит превращение ссылок во вредоносные.
Razor Enhanced — легитимная программа-ассистент для игры Ultima Online, — привлекла наше внимание, когда начала обращаться к вредоносному URL.
Код программы на С#, отвечающий за установку обновления
Так как ничего подозрительного в коде программы мы не нашли, стало ясно, что проблема на другой стороне. Перейдя на сайт, к которому обращалась программа, мы обнаружили заглушку одного из популярных доменных аукционов, гласящую, что данный домен можно приобрести. Изучив данные WHOIS, мы узнали, что его владелец не оплатил доменное имя и оно было куплено с помощью сервиса, отслеживающего освобождающиеся домены, а затем выставлено на продажу на аукционной площадке.
Чтобы продать домен на аукционе, его сначала необходимо запарковать на DNS-серверы торговой площадки, где он и будет находиться до момента передачи новому владельцу. Те же, кто попытается зайти на сайт, увидят ту самую заглушку.
Заглушка на продаваемом домене
Понаблюдав за этой страницей, мы обнаружили, что время от времени посетитель, изначально заходящий на уже неработающий сайт разработчика приложения, попадает не на заглушку аукциона, а на вредоносный ресурс (что, собственно, и произошло с программой Razor Enhanced, когда она решила проверить обновления). Далее мы выяснили, что сайт-заглушка перенаправляет посетителя не на какой-то конкретный ресурс, а на разные сайты. В том числе на сайты партнерских сетей. Более того, тип редиректа может меняться в зависимости от страны и User-agent: при заходе с устройства c macOS жертва имеет шанс отправиться на страницу, с которой скачивается троянец Shlayer.
Мы проверили список адресов, с которых скачивался Shlayer, и выяснили, что подавляющая часть доменных имен выставлена на аукцион на той же торговой площадке. Затем мы решили проверить запросы к одному из ресурсов, на которые редиректит пользователей Razor Enhanced, и обнаружили, что на тот же адрес отправляют своих посетителей еще около ста заглушек этой торговой площадки. Всего за время исследования мы нашли около 1000 подобных страниц, однако полагаем, что их может быть гораздо больше.
По данным за период с марта 2019 года по февраль 2020 года, 89% сайтов, куда переадресовывались запросы со страниц-заглушек, являются рекламными. Остальные 11% представляют куда более серьезную опасность: там пользователю предлагают установить вредоносное ПО, скачать вредоносные документы MS Office или PDF-документы со ссылками на мошеннические ресурсы и т. п.
Можно предположить, что одна из статей дохода злоумышленников — заработок посредством генерации трафика на страницы партнерских программ, как рекламных, так и вредоносных (malvertizing). К примеру, на один из таких ресурсов за десять дней совершается (в среднем) около 600 редиректов запросов от программ, которые, подобно Razor Enhanced, пытаются обратиться к сайту разработчика.
Кто стоит за всем этим?
Есть несколько сценариев. Самый правдоподобный — за вредоносные редиректы отвечает модуль, демонстрирующий контент сторонней рекламной сети. Вредоносный трафик мог появиться по причине отсутствия фильтрации рекламных объявлений или использования злоумышленниками уязвимостей в рекламном модуле (или самой торговой площадке) с целью изменения настроек и подмены редиректов.
Мы пока не можем делать однозначных выводов, но исходя из собранных данных можно предположить, что мы натолкнулись на довольно остроумно организованную (и, предположительно, управляемую) сеть, которая может «лить трафик» на ресурсы злоумышленников, используя при этом редиректы с легитимных доменных имен и ресурсы одного из крупнейших и старейших доменных аукционов.
Главная проблема для посетителей легитимных ресурсов заключается в том, что без использования защитных решений они не смогут предотвратить переход на вредоносный сайт. Более того, часть посетителей таких сайтов может зайти на них, набрав адрес по памяти, щелкнув по ссылке в окне «О программе» используемого приложения или найдя их с помощью поисковых систем.
Аукцион редиректов