Van computercriminelen is gebleken dat ze verlopen domeinnamen misbruiken door ze opnieuw te registreren en de bezoekers op malware te wijzen. Dit was een veelgebruikte tactiek voor marketeers en SEO-specialisten die alleen namen gebruikten om naar bestemmingspagina's van hun klanten te verwijzen. Deze nieuwe scenariowijziging laat zien hoe belangrijk het is om nooit te vertrouwen dat een domeinnaam van een site standaard veilig is.
Verlopen domeinnamen geregistreerd en misbruikt om malware te leveren
Computerhackers maken gebruik van de algemene marketingstrategie om verlopen domeinnamen te registreren. Dit is een algemene tactiek die is bedacht om backlinks naar een bepaalde site te bieden. Digitale marketeers zoeken pas verlopen domeinnamen op die mogelijk een vergelijkbare naam hebben, betekenis of veel links die naar opmerkelijke sites verwijzen. Als ze vinden dat ze passen in de niche van de site van hun klant, kunnen ze deze registreren en inhoud plaatsen, gearchiveerde berichten bewerken of zelfs instituut (mogelijk malware) omleidingen naar andere sites.
Er is ook een andere mogelijkheid die hackers kunnen misbruiken - door het te faken het vervalsen van het bericht van de domeinnaam. Dit zal verschijnen wanneer een bepaalde site is verlopen en de bezoekers worden geïnformeerd dat deze nu wordt verkocht door een domeinregistrant of een hostingbedrijf. Omdat deze pagina's meestal een soort formulieren of contactgegevens bevatten, kan deze worden gebruikt in phishing-campagnes. Het exacte type phishing-strategie kan afhangen van de gekozen site of de hackgroep.
In een van de bevestigde gevallen hebben beveiligingsonderzoekers ontdekt dat de bron van dergelijke hacktactieken afkomstig was van een online game. Uit het onderzoek blijkt dat wanneer de gebruikers van deze game een site bezoeken, er een link in zat die doorverwijst naar een dergelijk verlopen domein. Deze omleidingslink is gevonden naar de bezoekers naar een op de zwarte lijst geplaatste webpagina leiden in plaats van een reguliere domeinveiling.
Naar aanleiding van de domeinlinks ontdekte een audit dat er meer dan 2,500 pagina's in totaal die linken naar verschillende sites. Er zijn twee primaire gevolgen:
- malware Distribution — In veel gevallen kunnen de hackers met virussen geïnfecteerde bestanden insluiten of malware-payloads sturen. In dit specifieke geval is het meest populaire voorbeeld de Shlayer Trojan. Het installeert adware en voert andere gevaarlijke acties uit op het hostsysteem.
- malware Omleidingen — De criminelen kunnen de bezoekers omleiden naar valse inlogformulieren, phishing-sites en opdringerige advertenties.
Een van de redenen waarom deze methode steeds efficiënter en populairder wordt onder hackers, is het feit dat het gebruik van dergelijke domeinen heel eenvoudig is. Registratie van verlopen domeinen en analytische gegevens over hun waarde kan eenvoudig worden gedaan via gratis openbare tools.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: