I ricercatori di Kaspersky hanno scoperto “malvertising”, uno schema con oltre mille domini inattivi che, quando vengono visitati, reindirizzano i visitatori verso URL indesiderate per trarne profitto.

malvertising
malvertising

Quando le aziende smettono di pagare per un dominio può succedere che venga acquistato da alcuni servizi o messo in vendita su piattaforme di aste. Tuttavia, sostituendo lo stub con un link fraudolento di “malvertising”, i criminali possono mettere a punto uno schema per infettare gli utenti o generare profitti.

Nel corso di un’indagine su un tool di supporto di un noto gioco online, i ricercatori di Kaspersky hanno notato che un’applicazione tentava di reindirizzare gli utenti verso una URL indesiderata. Questi ultimi hanno successivamente scoperto che la URL si trovava su un sito di aste.

Da ulteriori analisi sono emersi circa 1.000 siti web su diversi siti di aste. Durante la seconda fase di re-direct, queste pagine trasferivano gli utenti verso oltre 2.500 URL indesiderate. Molte di queste effettuavano il download del Trojan Shlayer, una minaccia macOS molto diffusa.

Tra marzo 2019 e febbraio 2020, l’89% dei trasferimenti, di secondo livello, dirottava i clienti verso pagine ad-related, mentre l’11% verso quelle malevole. Ai visitatori veniva richiesto di installare un malware o di fare il download di documenti infetti di MS Office o PDF. In alcuni casi, le pagine stesse contenevano un codice dannoso.

Secondo gli esperti, l’obiettivo alla base di questo schema era di natura economica. I criminali informatici ottenevano un guadagno veicolando il traffico da pagine pubblicitarie legittime verso quelle dannose. Questo schema prende il nome di “malvertising“. Una delle pagine malevole scoperte, ad esempio, ha ricevuto in media 600 re-direct in soli dieci giorni. Nel caso di Shlayer, i criminali informatici hanno ricevuto un pagamento per ogni installazione ottenuta su un dispositivo.

È probabile che il successo di questa truffa sia dovuto alla presenza di falle nel modulo utilizzato, che non filtra correttamente gli annunci dannosi.

A tal proposito, Dmitry Kondratyev, Junior Malware Analyst, ha dichiarato: “I domini inizialmente utilizzati erano risorse legittime che molto probabilmente venivano visitate spesso dagli utenti. Ora, purtroppo, non c’è modo di sapere se questi domini conducano verso pagine malevole. Potrebbe anche non esserci alcuna conseguenza se, ad esempio, si accedesse al sito dalla Russia. Se invece, ad esempio, si dovesse accedere da una VPN si potrebbe correre il rischio di essere rimandati a una pagina che scarica Shlayer. In generale, gli schemi di “malvertising” sono complessi e difficili da scoprire, pertanto installare una soluzione di sicurezza sul proprio dispositivo rimane la migliore strategia”.

Maggiori informazioni sui link malevoli sono disponibili su Securelist.

Per ridurre il rischio di infezione da Trojan provenienti da siti malevoli, gli esperti di Kaspersky raccomandano di:

  • Installare programmi e aggiornamenti solo da fonti affidabili
  • Utilizzare una soluzione di sicurezza, come Kaspersky Security Cloud, con funzionalità Anti-Phishing che impedisca di essere reindirizzati su pagine sospette.