Malvertising: Há mais de mil websites à venda com links que levam a páginas que instalam trojans

A mais recente investigação da Kaspersky revela que a prática do malvertising voltou “em força”. Os especialistas descobriram cerca de mil domínios web inativos à venda em várias plataformas de leilão que redirecionam os utilizadores para endereços maliciosos. Ao aceder a um dos 2.500 URLs, os internautas podem infetar os seus equipamentos com o trojan Shlayer.

Por vezes, os domínios web são comprados por serviços e postos à venda em leilões quando as empresas deixam de pagar por eles. Ao tentar aceder a uma página vendida, os utilizadores são redirecionados para a plataforma do leilão. No entanto, os cibercriminosos podem criar um esquema para infetar os utilizadores, ou até mesmo gerar lucros à sua custa, ao substituir os fragmentos de código por links maliciosos.

Ao analisar a Razor Enhanced, uma ferramenta de assistência do popular jogo Ultima Online, os investigadores da Kaspersky detetaram que a aplicação tentava redirecionar os utilizadores para URLs maliciosos. O motivo? A hiperligação estava à venda num site de leilão e o seu código tinha sido infetado por cibercriminosos.

A análise permitiu descobrir que a vasta maioria dos URLs descarregavam o trojan Shlayer, uma ameaça macOS generalizada que instala adware nos dispositivos infetados e é distribuída por páginas web com conteúdo malicioso.

Ao todo, entre março de 2019 e fevereiro de 2020, 89% dos redireccionamentos foram feitos para páginas relacionadas com publicidade. Já 11% tratavam-se malware: as próprias páginas continham código malicioso, ou pediam aos utilizadores para instalar software que, afinal, não era tão benigno quanto parecia, ou ainda para a descarregar documentos MS Office ou PDF infetados.

A Kaspersky explica que os motivos por trás do esquema podem ser de origem financeira, uma vez que os hackers lucram por conduzir o tráfego para páginas. Por exemplo, uma das páginas descobertas recebeu, em média, 600 redireccionamentos em 10 dias, e é provável que os criminosos recebam um pagamento com base no número de visitas gerado.

No caso do trojan Shlayer, os hackers que o distribuíram receberam um pagamento por cada instalação num dispositivo. Os investigadores estimam que o esquema seja ainda resultado de uma falha na filtragem do anúncio do módulo que exibe o conteúdo da rede de anúncios de terceiros.

É verdade que o risco de infeção por trojans pode ser reduzido ao instalar programas e atualizações apenas a partir de fontes confiáveis e ao recorrer a soluções de segurança fiáveis, no entanto, Dmitry Kondratyev, analista júnior de malware da Kaspersky, afirma que “os utilizadores podem fazer muito pouco para não serem redirecionados para uma página maliciosa”.

O analista indica que não há forma de saber se os domínios que têm este tipo de redireccionamento estão ou não a transferir visitantes para páginas que descarregam malware. O próprio acesso a um site malicioso pode variar: por exemplo, “se um dia, esse acesso é feito na Rússia, nada acontece. Contudo, se depois tentar aceder ao mesmo site com uma VPN, poderá ser enviado para uma página que descarregue o trojan Shlayer”.