Investigadores de Kaspersky descubren más de un millar de dominios potencialmente peligrosos y maliciosos

Cuando las empresas dejan de pagar por su dominio, estos pueden ser adquiridos y puestos a la venta en un sitio de subastas. Los que intentan visitar el sitio web inactivo son redirigidos automáticamente a este site de subastas, sin embargo, al ser sustituido el stub, por ejemplo, por un enlace malicioso, los estafadores crean un esquema para infectar a los usuarios o generar beneficios a sus expensas.

Esto es lo que han descubierto los investigadores de Kaspersky. Mientras analizaban una herramienta de asistencia de un popular juego online, detectaron un intento de la aplicación de transferirlos a una URL no deseada. Este dominio estaba a la venta en un sitio de subastas, pero, en lugar de redirigir a la página correcta que mostraba el dominio a la venta, transfería a los usuarios a otra web.

Un análisis en profundidad llevó a los investigadores a descubrir alrededor de 1.000 sitios puestos a la venta en distintas plataformas de subastas. Al realizar la redirección, este millar de páginas transfirieron a los usuarios a más de 2.500 URL no deseadas. Muchas de ellas descargaban el troyano Shlayer, una amenaza de macOS que instala adware en los dispositivos infectados y se distribuye por páginas web con contenido malicioso.

Entre marzo de 2019 y febrero de 2020, el 89% de estas redirecciones llevaban a páginas relacionadas con publicidad, mientras que el 11% eran maliciosas y se solicitaba a los usuarios que instalaran malware, descargaran documentos MS Office o PDF infectados, o las propias páginas contenían código malicioso.

Según los expertos, el razonamiento detrás de este esquema de múltiples capas podría ser de naturaleza financiera. Los estafadores reciben ingresos por dirigir el tráfico a las páginas, tanto a las que son de publicidad legítima como a las que son maliciosas. Esto es lo que se conoce como malvertising. Una de las webs maliciosas descubiertas, por ejemplo, recibió 600 redirecciones de media en sólo diez días. Lo más probable es que los delincuentes reciban un pago basado en el número de visitas. Y en el caso de Shlayer los que distribuyen el malware reciben un pago por cada instalación en un dispositivo.

Kaspersky aconseja instalar programas y actualizaciones de fuentes de confianza y disponer de herramientas de seguridad, como medida para reducir el riesgo de infección de troyanos y malware.