【51CTO.com快譯】大多數(shù)人可能試圖打開過一個網(wǎng)站，結(jié)果發(fā)現(xiàn)該網(wǎng)站不再存在，取而代之的是一個登陸頁面，表示該域已過期或準(zhǔn)備續(xù)新。在一些情況下，頁面僅含有與過期網(wǎng)站有關(guān)的鏈接。在其他情況下，頁面由希望出售過期域名的拍賣網(wǎng)站托管。

[[333861]]

通常，這種類型的登陸頁面或拍賣頁面看起來是良性的，鏈接指向被認(rèn)為是合法的其他網(wǎng)站。但安全提供商卡巴斯基近日發(fā)布的一份報告解釋，其中一些看似良性的頁面背后可能隱藏著惡意軟件。

卡巴斯基的研究人員在調(diào)查一款在線游戲的應(yīng)用程序后發(fā)現(xiàn)，該應(yīng)用程序試圖將他們重定向至一個不需要的、出人意外的URL，該URL在拍賣網(wǎng)站上掛牌出售。然而，第二階段的重定向并未將人引到正確的存根網(wǎng)站，而是引到了被列入黑名單的網(wǎng)頁。

卡巴斯基進(jìn)一步分析后發(fā)現(xiàn)，同一拍賣服務(wù)有大約1000個待售的網(wǎng)站。這些網(wǎng)站的重定向第二階段將用戶引至2500多個不需要的URL。許多這些URL經(jīng)過了設(shè)置，可以下載Shlayer特洛伊木馬，這個臭名昭著的惡意軟件企圖在Mac計算機(jī)上安裝廣告軟件。

圖1. 待售域名的存根頁面

卡巴斯基分析2019年3月到2020年2月的活動后確定，這些第二階段重定向中89%指向了與廣告有關(guān)的頁面，而11%指向了惡意頁面。在一些情況下，頁面本身含有惡意代碼。在其他情況下，系統(tǒng)提示用戶安裝惡意軟件或下載受感染的微軟Office文檔和PDF文件。

與往常一樣，獲利是最終目標(biāo)。人們通過將用戶吸引到某些頁面拿到分成，這些頁面有的是合法的廣告頁面，有的是惡意頁面(這種做法名為惡意廣告)。其中一個惡意頁面在短短十天內(nèi)平均收到600次重定向。由于頁面企圖安裝Shlayer特洛伊木馬，惡意軟件每次安裝在受影響的設(shè)備上，攻擊者就能拿到分成。

卡巴斯基認(rèn)為，該活動背后的犯罪分子隸屬一個組織嚴(yán)密、精心管理的網(wǎng)絡(luò)，該網(wǎng)絡(luò)可以將流量引到惡意網(wǎng)站。他們做到這一點采用的手法是，使用來自合法域名的重定向，并充分利用已知域名拍賣網(wǎng)站的資源。

卡巴斯基的初級惡意軟件分析師Dmitry Kondratyev在新聞稿中說：“遺憾的是，用戶想避免被重定向至惡意頁面，基本上無能為力。重定向的域名曾是合法資源，也許是過去用戶經(jīng)常訪問的資源。也無法知道它們現(xiàn)在是否將訪客轉(zhuǎn)移到下載惡意軟件的頁面。通常而言，諸如此類的惡意廣告花招很復(fù)雜，很難完全發(fā)現(xiàn)它們，因此你最好的防御方法是在設(shè)備上有一種全面的安全解決方案。”

雖說這種特殊的攻擊可能很難對付，但是你仍可以采取一些措施，竭力阻止一般的特洛伊木馬感染設(shè)備。因此，卡巴斯基提供了以下技巧：

• 僅從可信賴的來源安裝程序和更新;
• 使用具有反網(wǎng)絡(luò)釣魚功能的可靠的安全解決方案，防止重定向至可疑頁面。

原文標(biāo)題：How expired domain names can redirect you to malicious websites，

作者：Lance Whitney

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】