كشف باحثون في مرحز الأبحاث الروسي "كاسبرسكى"، عن أكثر من ألف اسم نطاق غير مستخدم، توجّه المستخدمين عند زيارتها إلى عناوين URL غير مطلوبة سعيّا وراء تحقيق الربح غير المشروع؛ فقد وجدوا أن العديد من هذه الصفحات ذات أهداف خبيثة.
وتشتري أحيانًا بعض الخدمات المتخصصة أسماء نطاق الويب الخاصة بالشركات عندما تتوقّف عن سداد الرسوم المطلوبة مقابلها، لتُعرض للبيع في أحد مواقع المزادات. ويُوجّه أولئك الذين يحاولون زيارة موقع الويب غير النشط إلى موقع المزاد حيث يجدون أن اسم النطاق (عنوان موقع الويب) معروض للبيع، أو أن هذا على الأقل ما يجب أن يكون. لكن المخربين يستبدلون بصفحة المزاد شيئًا آخر، مثل رابط خبيث، ليمكنهم وضع مخطط تخريبي لإصابة المستخدمين أو جني الأرباح على حسابهم.
واكتشف باحثو كاسبرسكي، أثناء تحقيق يجرونه في شأن أداةِ مساعدةٍ خاصة بلعبة شائعة على الإنترنت، محاولة من تطبيق هذه الأداة لتوجيههم إلى عنوان URL غير مرغوب فيه، ليتضح لهم أن عنوان URL هذا كان قد أُدرج للبيع في موقع للمزادات. لكن هذه الصفحة وجّهت الباحثين ثانية إلى صفحة أخرى مدرجة في إحدى القوائم السوداء، بدلاً من توجيههم إلى الصفحة الصحيحة.
وكشف تحليل إضافي أجراه الباحثون في أعقاب هذا الكشف، عن وجود حوالي 1000 موقع ويب معروض للبيع على منصات المزاد المختلفة، نقلت المستخدمين في المرحلة الثانية من التوجيه، إلى أكثر من 2500 عنوان URL غير مرغوب فيه، ويعمل العديد من هذه المواقع على تنزيل التروجان Shlayer، أحد التهديدات المنتشرة التي تشكل خطرًا على النظام macOS، والذي يثبّت برمجيات إعلانية على الأجهزة المصابة ويجري توزيعه من خلال صفحات ويب ذات محتوى خبيث.
وكانت 89% من عمليات التوجيه في المستوى أو المرحلة الثانية، والتي جرت بين مارس 2019 وفبراير 2020، تتم إلى صفحات ذات صلة بالإعلانات، في حين كانت نسبة الأحد عشر بالمئة منها إلى برمجيات خبيثة؛ فإما أن يطلب من المستخدمين تثبيت برمجية خبيثة أو تنزيل مستندات MS Office أو PDF مصابة، أو أن الصفحات نفسها تحتوي على شيفرات برمجية خبيثة.
وأشار الخبراء إلى أن السبب وراء هذا المخطط الخبيث متعدد المستويات يمكن أن يكون ذا طبيعة مالية؛ إذ يحصل المحتالون على عائدات مالية جرّاء توجيههم الزيارات إلى الصفحات، سواء الصفحات الإعلانية الرسمية أو تلك الخبيثة، وهذا ما يُعرف باسم "الإعلانات الخبيثة"، فعلى سبيل المثال، كانت إحدى الصفحات الخبيثة التي جرى الكشف عنها تلقّت 600 عملية توجيه للمستخدمين في المعدّل في غضون عشرة أيام فقط، إذ يبدو على الأرجح أن المجرمين يتلقون المال بناءً على عدد الزيارات، وفي حالة التروجان Shlayer، يتلقى من يوزعونه دفعة لكل عملية تثبيت له على جهاز أحد الضحايا.
ومن المحتمل أن تكون عملية الخداع ناجمة عن عيوب في فلترة (تصفية) الإعلانات للوحدة التي تعرض محتوى شبكة الإعلانات الخارجية.
ولا يمكن للمستخدمين، مع الأسف، فعل الكثير لتجنب توجيههم إلى صفحة خبيثة، بحسب دميتري كوندراتييف محلل البرمجيات الخبيثة لدى كاسبرسكي، الذي أشار إلى أن أسماء النطاق التي تجرى منها عمليات التوجيه تلك، كانت في وقت ما "مواقع ويب رسمية ربما زارها المستخدمون كثيرًا في الماضي"، موضحًا أنه لا يمكن للمستخدمين معرفة أنها أصبحت تنقلهم الآن إلى صفحات تنزّل برمجيات خبيثة على أجهزتهم.
وأضاف: "لم يقتصر الأمر على ذلك، إذ يضاف إلى التحدّي أن الوصول إلى الموقع يختلف باختلاف الطريقة، فالوصول إليه يوما ما من روسيا، مثلًا، لن يتسبب في حدوث شيء، لكن عند محاولة الوصول إليه باستخدام شبكة افتراضية خاصة VPN، فقد يجري توجيه المستخدم إلى صفحة تنزل Shlayer على جهازه. وبشكل عام، فإن مخططات الإعلانات الخبيثة مثل هذه تتسم بالتعقيد، ما يجعل من الصعب الكشف عنها بالكامل، لذا فإن أفضل دفاع للمستخدم يتمثل في وجود حلّ أمني شامل على جهازه".