【51CTO.com快譯】大多數人可能試圖打開過一個網站，結果發現該網站不再存在，取而代之的是一個登陸頁面，表示該域已過期或準備續新。在一些情況下，頁面僅含有與過期網站有關的鏈接。在其他情況下，頁面由希望出售過期域名的拍賣網站托管。

[[333861]]

通常，這種類型的登陸頁面或拍賣頁面看起來是良性的，鏈接指向被認為是合法的其他網站。但安全提供商卡巴斯基近日發布的一份報告解釋，其中一些看似良性的頁面背后可能隱藏著惡意軟件。

卡巴斯基的研究人員在調查一款在線游戲的應用程序后發現，該應用程序試圖將他們重定向至一個不需要的、出人意外的URL，該URL在拍賣網站上掛牌出售。然而，第二階段的重定向并未將人引到正確的存根網站，而是引到了被列入黑名單的網頁。

卡巴斯基進一步分析后發現，同一拍賣服務有大約1000個待售的網站。這些網站的重定向第二階段將用戶引至2500多個不需要的URL。許多這些URL經過了設置，可以下載Shlayer特洛伊木馬，這個臭名昭著的惡意軟件企圖在Mac計算機上安裝廣告軟件。

圖1. 待售域名的存根頁面

卡巴斯基分析2019年3月到2020年2月的活動后確定，這些第二階段重定向中89%指向了與廣告有關的頁面，而11%指向了惡意頁面。在一些情況下，頁面本身含有惡意代碼。在其他情況下，系統提示用戶安裝惡意軟件或下載受感染的微軟Office文檔和PDF文件。

與往常一樣，獲利是最終目標。人們通過將用戶吸引到某些頁面拿到分成，這些頁面有的是合法的廣告頁面，有的是惡意頁面(這種做法名為惡意廣告)。其中一個惡意頁面在短短十天內平均收到600次重定向。由于頁面企圖安裝Shlayer特洛伊木馬，惡意軟件每次安裝在受影響的設備上，攻擊者就能拿到分成。

卡巴斯基認為，該活動背后的犯罪分子隸屬一個組織嚴密、精心管理的網絡，該網絡可以將流量引到惡意網站。他們做到這一點采用的手法是，使用來自合法域名的重定向，并充分利用已知域名拍賣網站的資源。

卡巴斯基的初級惡意軟件分析師Dmitry Kondratyev在新聞稿中說：“遺憾的是，用戶想避免被重定向至惡意頁面，基本上無能為力。重定向的域名曾是合法資源，也許是過去用戶經常訪問的資源。也無法知道它們現在是否將訪客轉移到下載惡意軟件的頁面。通常而言，諸如此類的惡意廣告花招很復雜，很難完全發現它們，因此你最好的防御方法是在設備上有一種全面的安全解決方案。”

雖說這種特殊的攻擊可能很難對付，但是你仍可以采取一些措施，竭力阻止一般的特洛伊木馬感染設備。因此，卡巴斯基提供了以下技巧：

• 僅從可信賴的來源安裝程序和更新;
• 使用具有反網絡釣魚功能的可靠的安全解決方案，防止重定向至可疑頁面。

原文標題：How expired domain names can redirect you to malicious websites，

作者：Lance Whitney

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】