È stato scoperto che i criminali informatici abusano dei nomi di dominio scaduti registrandoli nuovamente e indirizzando i visitatori verso malware. Questa era una tattica comunemente usata per esperti di marketing e specialisti SEO che utilizzavano solo nomi per indicare le pagine di destinazione dei propri clienti. Questo nuovo cambio di scenario mostra quanto sia importante non fidarsi mai di un nome di dominio del sito per sicurezza per impostazione predefinita.
Nomi di dominio scaduti registrati e abusati per consegnare malware
Gli hacker informatici stanno sfruttando la comune strategia di marketing per la registrazione di nomi di dominio scaduti. Questa è una tattica comune ideata per fornire backlink a un determinato sito. I marketer digitali cercano nomi di dominio appena scaduti che potrebbero avere un nome simile, significato o molti collegamenti che puntano a siti notevoli. Se scoprono che si adattano alla nicchia del sito del loro cliente, possono registrarlo e pubblicare contenuti, modifica post archiviati o persino istituto (potenzialmente malware) reindirizza ad altri siti.
C'è anche un'altra possibilità che gli hacker possono abusare - fingendo il falsificare il messaggio con il nome di dominio scaduto. Ciò si verificherà quando un determinato sito è scaduto e ai visitatori viene comunicato che ora è venduto da un registrante di dominio o da una società di hosting. Dato che queste pagine di solito contengono una sorta di moduli o informazioni di contatto, queste possono essere utilizzate nelle campagne di phishing. Il tipo esatto di strategia di phishing può dipendere dal sito scelto o dal gruppo di hacking.
In uno dei casi confermati, i ricercatori della sicurezza hanno scoperto che la fonte di tali tattiche di hacking proveniva da un gioco online. L'indagine mostra che quando gli utenti di questo gioco accedono a un sito c'era un link in esso che reindirizza a un dominio scaduto. Questo link di reindirizzamento è stato trovato a condurre i visitatori a una pagina Web nella lista nera anziché un normale sito di aste di domini.
In seguito ai collegamenti al dominio, un controllo ha scoperto che ce ne sono stati di più 2,500 pagine in totale che collegano a vari siti. Ci sono due conseguenze principali:
- distribuzione Malware — In molti casi gli hacker possono incorporare file infetti da virus o indirizzare payload di malware. In questo caso particolare l'esempio più popolare è il Shlayer Trojan. Installerà adware ed eseguirà altre azioni pericolose sul sistema host.
- malware Redirect — I criminali possono reindirizzare i visitatori a moduli di accesso falsi, siti di phishing e contenuti pubblicitari invadenti.
Uno dei motivi per cui questo metodo sta diventando sempre più efficiente e popolare tra gli hacker è il fatto che l'uso di tali domini è molto semplice. La registrazione di domini scaduti e dati analitici sul loro valore può essere facilmente eseguita tramite strumenti pubblici gratuiti.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: