Amikor a vállalatok már nem fizetnek elő többé a domainjükre, azokat sok esetben megveszi egy szolgáltató, és eladásra kínálja egy aukciós oldalon. Az inaktív weboldalra látogatókat aztán az aukciós csonkra irányítják át, ahol azt látják, hogy a domain éppen eladó – vagy legalábbis ezt kéne látniuk. Azonban, ha a csonkot valami mással – például egy rosszindulatú linkkel – helyettesítik, a csalók ezzel az alattomos módszerrel megfertőzhetik a felhasználók eszközeit, vagy profitra tehetnek szert a felhasználó kárára.
Egy népszerű online játék asszisztens eszközének vizsgálata során a Kaspersky kutatói felfedezték, hogy az alkalmazás egy nem kívánt URL-re próbálja őket átirányítani. Kiderült, hogy ezt az URL-t eladásra hirdették meg egy aukciós oldalon. Azonban a megfelelő csonkoldalra való átirányítás helyett ez a második lépcsős átirányítás egy másik feketelistás oldalra vitte a felhasználókat.
A további elemzés során még nagyjából 1000, különféle aukciós oldalakon eladásra kínált weboldalt fedeztek fel. Az átirányítás második lépcsőjében ez az 1000 oldal több mint 2500 nem kívánt URL-re irányította át a felhasználókat. Ezek között az URL-ek között sok olyan van, amelyik a Shlayer trójai vírust tölti le – ez egy széles körben elterjedt macOS fenyegetés, amely reklámszoftvert telepít a fertőzött eszközökre, és rosszindulatú tartalmú weboldalak terjesztik.
A 2019. március és a 2020. február közötti időszakban a második lépcsős átirányítások 89 százaléka hirdetéssel kapcsolatos oldalakra vitte a felhasználókat, 11 százalékuk pedig rosszindulatú volt: a felhasználókat vagy malware feltelepítésére, vagy fertőzött MS Office vagy PDF-dokumentumok letöltésére utasították, vagy maguk az oldalak tartalmaztak rosszindulatú kódot.
A szakemberek szerint e mögött a többrétegű csalásos módszer mögött pénzügyi indokok állhatnak: a csalók bevételre tesznek szert azzal, hogy forgalmat irányítanak az oldalakra – mind a törvényesekre, mind a rosszindulatúakra. Ezt úgy hívjuk, hogy rosszindulatú hirdetési tevékenység. Az egyik felfedezett rosszindulatú oldalra például mindössze tíz nap alatt átlagosan 600 átirányítás érkezett – a bűnözőket nagy valószínűséggel a látogatószám alapján fizetik. A Shlayer esetében a malware-t terjesztők minden egyes telepítés után kaptak fizetséget.
Valószínűsíthető, hogy ezt a fajta csalást a harmadik fél hirdetési hálózatának tartalmát megjelenítő modul hirdetésszűrőjének hibái teszik lehetővé.
„A felhasználók sajnos nem sokat tehetnek az ellen, ha egy rosszindulatú oldalra irányítsák át őket. Az átirányítást alkalmazó domainek ugyanis valamikor törvényes források voltak, talán pont azok, amelyeket a felhasználók korábban sűrűn látogattak. És persze nem lehet tudni, hogy ezek most olyan oldalakra irányítják-e át a látogatókat, amelyek malware-eket töltenek le. További nehézséget jelent az is, hogy teljesen változó, hogy az ember rosszindulatú oldalra jut-e vagy sem: ha egyik nap Oroszországból látogat az oldalra, semmi sem történik. Ha azonban utána VPN használatával megy fel az oldalra, lehet, hogy egy olyan oldalra kerül, amelyik a Shlayert tölti le. Az ilyen rosszindulatú hirdetéses módszerek általában komplexek, ezért nehéz teljes egészében feltárni őket, a legjobban tehát úgy védekezhetünk, ha átfogó védelmet biztosító biztonsági megoldást telepítünk az eszközünkre” – mondta el Dmitrij Kondratyev, junior malware-elemző.
