مدتی میشود که لینکهای زیرِ ویدیوهای یوتیوب یا مقالات ویکیپدیا را که در یک مقطع زمانی شروع کردند ریدایرکت شدن به صفحات برنامههای شریک[1]، سایتهای فیشینگ یا حتی بدافزار زیر نظر قرار دادهایم. به نظر اینطور میآید که مهاجمین تعمداً داشتند دامنهها را میخریدند؛ اما همیشه سناریو پیچیدهتر از اینهاست. همین اواخر، وقتی داشتیم رفتار برنامهای نه چندان جدید را مورد بررسی قرار میدادیم، کشف کردیم چطور لینکها به لینکهایی مخرب تبدیل میشوند. در ادامه با ما همراه شوید تا مفصلاً به این مبحث بپردازیم.
وقتی ابزار دستیار قانونی شرکت Ultima Online به نام Razor Enhanced شروع کرد به امتحان کردنِ دسترسیِ URL مخرب، نظرمان بدان جلب شد.
از آنجایی که هیچ چیز مشکوکی در کد برنامه پیدا نکردیم، واضح بود که ایراد کار از جایی دیگر است. وقتی رفتیم سراغ سایتی که برنامه تلاش داشت بدان دسترسی پیدا کند، مقاله خرد[2] در خصوص مزایدهای محبوب که این دامنه را برای فروش گذاشته بود پیدا کردیم. گزارشات WHOIS[3] حاکی از این بود که صاحبش مدتی است پول نام دامنه را پرداخت نمیکند و با استفاده از سرویسی مخصوص ردیابی دامنههای عرضهشده خریداری گشته و بعد در سایت مزایده برای فروش گذاشته شده است.
اگر قرار باشد دامنهای در مزایده برای فروش گذاشته شود، ابتدا میبایست روی سرورهای DNS پلتفرم معاملاتی قرار گیرد؛ جایی که آنقدر میماند تا بالاخره به صاحب جدیدش انتقال یابد. هرکسی که از این سایت دیدن کند این آگهی را خواهد دید.
ما که این صفحه را مدتی است زیر نظر قرار دادیم، متوجه شدیم که گهگاه بازدیدکنندگانی که در ابتدا به وبسایت توسعهدهندهی اپ رفتند (وبسایتی که حالا غیرفعال شده است)، به مقاله خرد مزایده برنخوردند اما روی منبع مخرب فرود آمدند (چیزی که در اصل برای Razor Enhanced وقتی که تصمیم گرفت آپدیتها را چک کند افتاد). سپس، دریافتیم که سایت تبلیغاتی مزایده بازدیدکنندگان را نه به منبعی خاص که به وبسایتهایی مختلف نظیر وبسایتهای روی شبکههای اینترنتی شرکا ریدایرکت میکند. افزون بر این، نوع این ریدایرکت میتواند بسته به کشور و عامل کاربری متفاوت باشد: وقتی قربانی از دستگاه macOS دسترسی پیدا میکند ممکن است روی صفحهای فرود آید که تروجان Shlayer دانلود میکند.
ما فهرست آدرسهایی را که Shlayer از آنها دانلود شده بود مورد بررسی قرار دادیم و دریافتیم که اکثریت نامهای دامنه روی همان پلتفرم معاملاتی برای مزایده گذاشتهاند. بعد تصمیم گرفتیم درخواستهای منبع (منبعی که کاربران Razor Enhanced بدان ریدایرکت میشدند) را چک کنیم. در طی این بررسی متوجه شدیم حدود 100 مقاله خرد دیگر هم روی همین پلتفرم معاملاتی وجود دارد؛ خرده متنهایی که بازدیدکنندگان خود را به یک آدرس یکسان ارجاع میدادند. در طول این بررسی، (به طول کلی) حدود 1000 صفحهی این چنینی پیدا کردیم اما ارقام واقعی شاید بسیار بیشتر از این حرفها باشد.
بر اساس دادههای مارس 2019 تا فوریه 2020، هشتاد و نه درصد سایتهایی که درخواستهایی از سوی خرده مقالات بدانها ریدایرکت شده بود مضمون تبلیغاتی داشتند. 11 درصد باقیمانده هم تهدیدی به شدت جدی به حساب میآمدند: آنها کاربر را مجبور میکننده به نصب بدافزار یا دانلود MS Office یا داکیومنتهای مخرب به همراه لینکهایی به وبسایتهای جعلی و غیره.
میشود اینطور پنداشت که یکی از منابع مالی مجرمان سایبری، تولید ترافیک برای صفحات برنامهی شریک است (هم آگهیهای تبلیغاتی و هم تبلیغات مخرب و آلوده). بعنوان مثال، چنین منبعی در عرض ده روز (به طور متوسط) حدود 600 درخواست ریدایرکت از سوی برنامهها دریافت میکند که مانند Razor Enhanced تلاش دارند به سایت توسعهدهنده دسترسی پیدا کنند.
دستهای پشتپرده!
فرضیههای مختلفی در این میان وجود دارد که محتملترینش این است: ریدایرکتهای آلوده از ماژولی دستور میگیرند که محتوای شبکهی آگهی طرفسوم را نمایش میدهد. ترافیک آلوده میتواند در پی عدم فیلتر آگهی پدیدار شود و یا چون مهاجمین برای تغییر تنظیمات و جایگزینیِ ریدایرکتها در ماژول تبلیغاتی (یا خود پلتفرم معاملاتی) از آسیبپذیریها استفاده میکنند. برای نتیجهگیری کردن خیلی زود است اما بر اساس دادههایی که تاکنون جمعآوری شده، میتوان فرض را بر این گرفت که ما با شبکهای (بخوبی) سازمانیافته –و شاید به زیرکی مدیریتشده- سر و کار داریم که میتواند با استفاده از ریدایرکتهایی از سوی نام دامنههای قانونی و منابع یکی از بزرگترین و قدیمیترین مزایدههای دامنه جریانهای ترافیک را به سایتهای مجرمان سایبری دایورت کند.
مشکل اصلی برای بازدیدکنندگانِ منابع قانونی این است که بدون راهکاری امنیتی آنها قادر نخواهند بود جلوی ریدایرکت شدن به سایت آلوده را بگیرند. علاوه بر این، برخی بازدیدکنندگان از چنین سایتهایی ممکن است با تایپ کردن آدرس از حفظ، کلیک روی لینکی در پنجره About اپی که از آن استفاده میکنند و یا پیدا کردنشان در موتورهای جستوجو مسیرشان به آنجا بیافتد.
منبع: کسپرسکی آنلاین