ریدایرکت‌ها به مزایده گذاشته می‌شوند!

30 تیر 1399 ریدایرکت‌ها به مزایده گذاشته می‌شوند!

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ مدتی می‌شود که لینک‌های زیرِ ویدیوهای یوتیوب یا مقالات ویکی‌پدیا را که در یک مقطع زمانی شروع کردند ریدایرکت شدن به صفحات برنامه‌های شریک[1]، سایت‌های فیشینگ یا حتی بدافزار زیر نظر قرار داده‌ایم. به نظر اینطور می‌آید که مهاجمین تعمداً داشتند دامنه‌ها را می‌خریدند؛ اما همیشه سناریو پیچیده‌تر از اینهاست. همین اواخر، وقتی داشتیم رفتار برنامه‌ای نه چندان جدید را مورد بررسی قرار می‌دادیم، کشف کردیم چطور لینک‌ها به لینک‌هایی مخرب تبدیل می‌شوند. در ادامه با ما همراه شوید تا مفصلاً به این مبحث بپردازیم.

وقتی ابزار دستیار قانونی شرکت Ultima Online به نام Razor Enhanced شروع کرد به امتحان کردنِ دسترسیِ URL مخرب، نظرمان بدان جلب شد.

 

 

از آنجایی که هیچ چیز مشکوکی در کد برنامه پیدا نکردیم، واضح بود که ایراد کار از جایی دیگر است. وقتی رفتیم سراغ سایتی که برنامه تلاش داشت بدان دسترسی پیدا کند، مقاله خرد[2] در خصوص مزایده‌ا‌ی محبوب که این دامنه را برای فروش گذاشته بود پیدا کردیم. گزارشات WHOIS[3] حاکی از این بود که صاحبش مدتی است پول نام دامنه را پرداخت نمی‌کند و با استفاده از سرویسی مخصوص ردیابی دامنه‌های عرضه‌شده خریداری گشته و بعد در سایت مزایده برای فروش گذاشته شده است.

اگر قرار باشد دامنه‌ای در مزایده برای فروش گذاشته شود، ابتدا می‌بایست روی سرورهای DNS پلت‌فرم معاملاتی قرار گیرد؛ جایی که آنقدر می‌ماند تا بالاخره به صاحب جدیدش انتقال یابد. هرکسی که از این سایت دیدن کند این آگهی را خواهد دید.

 

 

ما که این صفحه را مدتی است زیر نظر قرار دادیم، متوجه شدیم که گهگاه بازدیدکنندگانی که در ابتدا به وبسایت توسعه‌دهنده‌ی اپ ‌رفتند (وبسایتی که حالا غیرفعال شده است)، به مقاله خرد مزایده برنخوردند اما روی منبع مخرب فرود آمدند (چیزی که در اصل برای Razor Enhanced وقتی که تصمیم گرفت آپدیت‌ها را چک کند افتاد). سپس، دریافتیم که سایت تبلیغاتی مزایده بازدیدکنندگان را نه به منبعی خاص که به وبسایت‌هایی مختلف نظیر وبسایت‌های روی شبکه‌های اینترنتی شرکا ریدایرکت می‌کند. افزون بر این، نوع این ریدایرکت می‌تواند بسته به کشور و عامل کاربری متفاوت باشد: وقتی قربانی از دستگاه macOS دسترسی پیدا می‌کند ممکن است روی صفحه‌ای فرود آید که تروجان Shlayer دانلود می‌کند.

ما فهرست آدرس‌هایی را که Shlayer از آن‌ها دانلود شده بود مورد بررسی قرار دادیم و دریافتیم که اکثریت نام‌های دامنه روی همان پلت‌فرم معاملاتی برای مزایده گذاشته‌اند. بعد تصمیم گرفتیم درخواست‌های منبع (منبعی که کاربران Razor Enhanced بدان ریدایرکت می‌شدند) را چک کنیم. در طی این بررسی متوجه شدیم حدود 100 مقاله خرد دیگر هم روی همین پلت‌فرم معاملاتی وجود دارد؛ خرده متن‌هایی که بازدیدکنندگان خود را به یک آدرس یکسان ارجاع می‌دادند. در طول این بررسی، (به طول کلی) حدود 1000 صفحه‌ی این چنینی پیدا کردیم اما ارقام واقعی شاید بسیار بیشتر از این حرف‌ها باشد.

بر اساس داده‌های مارس 2019 تا فوریه 2020، هشتاد و نه درصد سایت‌هایی که درخواست‌هایی از سوی خرده مقالات بدان‌ها ریدایرکت شده بود مضمون تبلیغاتی داشتند. 11 درصد باقیمانده هم تهدیدی به شدت جدی به حساب می‌آمدند: آن‌ها کاربر را مجبور می‌کننده به نصب بدافزار یا دانلود MS Office یا داکیومنت‌های مخرب به همراه لینک‌هایی به وبسایت‌های جعلی و غیره.

می‌شود اینطور پنداشت که یکی از منابع مالی مجرمان سایبری، تولید ترافیک برای صفحات برنامه‌ی شریک است (هم آگهی‌های تبلیغاتی و هم تبلیغات مخرب و آلوده). بعنوان مثال، چنین منبعی در عرض ده روز (به طور متوسط) حدود 600 درخواست ریدایرکت از سوی برنامه‌ها دریافت می‌کند که مانند Razor Enhanced تلاش دارند به سایت توسعه‌دهنده دسترسی پیدا کنند.

دست‌های پشت‌پرده!

فرضیه‌های مختلفی در این میان وجود دارد که محتمل‌ترینش این است: ریدایرکت‌های آلوده از ماژولی دستور می‌گیرند که محتوای شبکه‌ی آگهی طرف‌سوم را نمایش می‌دهد. ترافیک آلوده می‌تواند در پی عدم فیلتر آگهی پدیدار شود و یا چون مهاجمین برای تغییر تنظیمات و جایگزینیِ ریدایرکت‌ها در ماژول تبلیغاتی (یا خود پلت‌فرم معاملاتی) از آسیب‌پذیری‌ها استفاده می‌کنند. برای نتیجه‌گیری کردن خیلی زود است اما بر اساس داده‌هایی که تاکنون جمع‌آوری ‌شده، می‌توان فرض را بر این گرفت که ما با شبکه‌ای (بخوبی) سازمان‌یافته –و شاید به زیرکی مدیریت‌شده- سر و کار داریم که می‌تواند با استفاده از ریدایرکت‌هایی از سوی نام دامنه‌های قانونی و منابع یکی از بزرگ‌ترین و قدیمی‌ترین مزایده‌های دامنه جریان‌های ترافیک را به سایت‌های مجرمان سایبری دایورت کند.

مشکل اصلی برای بازدیدکنندگانِ منابع قانونی این است که بدون راهکاری امنیتی آن‌ها قادر نخواهند بود جلوی ریدایرکت شدن به سایت آلوده را بگیرند. علاوه بر این، برخی بازدیدکنندگان از چنین سایت‌هایی ممکن است با تایپ کردن آدرس از حفظ، کلیک روی لینکی در پنجره About اپی که از آن استفاده می‌کنند و یا پیدا کردنشان در موتورهای جست‌وجو مسیرشان به آنجا بیافتد. 

 

[1] partner program

[2] مقالهٔ خُرد مقاله‌ای است که تنها دربردارندهٔ چند جمله در متن است و کوتاه‌تر از آن است که بتواند موضوعی را پوشش دانشنامه‌ای دهد، ولی آنقدر کوتاه نیست که هیچ اطلاعات مفیدی دربرنداشته‌باشد.

[3] یک پرس و جوی پروتکلی است که به‌طور گسترده‌ای برای پرس و جوی پایگاه‌های داده کاربران ثبت‌شده یا نمایندگان منابع اینترنت، مانند یک نام دامنه اینترنتی، یک نشانی آی‌پی، یا یک سامانه خودگردان بکار می‌رود.

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    هنگام خرید آنلاین و یا انجام تراکنش‌های بانکی از طریق اینترنت، از اطلاعات حساب بانکی و پولتان مراقبت می‌کنیم. وقتی در فضای سایبری مشغول معاشرت هستید از هویت‌تان حراست می‌کنیم... وقتی در اینترنت ...

    7,085,250 ریال
    خرید
  • Kaspersky Internet Security for Android

    تلفن هوشمند و تبلت شما نیز به اندازه ی کامپیوترتان در برابر حمله های دیجیتالی آسیب پذیرند. به همین خاطر هنگام وب گردی یا استفاده از شبکه های اجتماعی، باید از آنها مراقبت کنید. ...

    2,360,250 ریال
    خرید
  • Kaspersky Total Security

    خانواده، نهادی ارزشمند است؛ پس بالاترین سطح امنیتی خود را به آن اختصاص داده‌ایم. توتال سکیوریتی کسپرسکی به خانواده‌ی شما کمک می‌کند: وقتی دارند در اینترنت گشت می‌زنند، خرید ...

    4,723,875 ریال9,447,750 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    3,541,500 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    3,541,500 ریال
    خرید
  • Kaspersky Antivirus

    ایجاد فضای امن سایبری ابتدا با محافظت از دستگاه پی‌سی‌تان شروع می‌شود. از همین رو آنتی‌ویروس کسپرسکی دستگاه پی‌سی شما را در برابر ویروس‌ها، باج‌افزارها، عملیات‌های فیشینگ، جاسوس‌افزار، وبسایت‌ها ...

    4,722,750 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 25 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    8,505,000 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد