كشف باحثون في كاسبرسكي عن أكثر من 1000 اسم نطاق غير مستخدم، توجّه المستخدمين عند زيارتها إلى عناوين URL غير مطلوبة سعياً وراء تحقيق الربح غير المشروع؛ فقد وجدوا أن العديد من هذه الصفحات ذات أهداف خبيثة.
وتشتري أحياناً بعض الخدمات المتخصصة أسماء نطاق الويب الخاصة بالشركات عندما تتوقّف عن سداد الرسوم المطلوبة مقابلها، لتُعرض للبيع في أحد مواقع المزادات. ويُوجّه أولئك الذين يحاولون زيارة موقع الويب غير النشط إلى موقع المزاد حيث يجدون أن اسم النطاق (عنوان موقع الويب) معروض للبيع، أو أن هذا على الأقل ما يجب أن يكون. لكن المخربين يستبدلون بصفحة المزاد شيئاً آخر، مثل رابط خبيث، ليمكنهم وضع مخطط تخريبي لإصابة المستخدمين أو جني الأرباح على حسابهم.
واكتشف باحثو كاسبرسكي، أثناء تحقيق يجرونه في شأن أداة مساعدةٍ خاصة بلعبة شائعة على الإنترنت، محاولة من تطبيق هذه الأداة لتوجيههم إلى عنوان URL غير مرغوب فيه، ليتضح لهم أن عنوان URL هذا كان قد أُدرج للبيع في موقع للمزادات. لكن هذه الصفحة وجّهت الباحثين ثانية إلى صفحة أخرى مدرجة في إحدى القوائم السوداء، بدلاً من توجيههم إلى الصفحة الصحيحة.
وكشف تحليل إضافي أجراه الباحثون في أعقاب هذا الكشف، عن وجود نحو 1,000 موقع ويب معروض للبيع على منصات المزاد المختلفة، نقلت المستخدمين في المرحلة الثانية من التوجيه، إلى أكثر من 2,500 عنوان URL غير مرغوب فيه. ويعمل العديد من هذه المواقع على تنزيل التروجان Shlayer، أحد التهديدات المنتشرة التي تشكل خطراً على النظام macOS، والذي يثبّت برمجيات إعلانية على الأجهزة المصابة ويجري توزيعه من خلال صفحات ويب ذات محتوى خبيث.
وكانت 89% من عمليات التوجيه في المستوى أو المرحلة الثانية، والتي جرت بين مارس 2019 وفبراير 2020، تتمّ إلى صفحات ذات صلة بالإعلانات، في حين كانت نسبة 11% منها إلى برمجيات خبيثة؛ فإما أن يُطلب من المستخدمين تثبيت برمجية خبيثة أو تنزيل مستندات MS Office أو PDF مصابة، أو أن الصفحات نفسها تحتوي على شيفرات برمجية خبيثة.
وأشار الخبراء إلى أن السبب وراء هذا المخطط الخبيث متعدد المستويات يمكن أن يكون ذا طبيعة مالية؛ إذ يحصل المحتالون على عائدات مالية جرّاء توجيههم الزيارات إلى الصفحات، سواء الصفحات الإعلانية الرسمية أو تلك الخبيثة، وهذا ما يُعرف باسم «الإعلانات الخبيثة».
ولا يمكن للمستخدمين، مع الأسف، فعل الكثير لتجنّب توجيههم إلى صفحة خبيثة، بحسب دميتري كوندراتييف محلل البرمجيات الخبيثة لدى كاسبرسكي، الذي أشار إلى أن أسماء النطاق التي تُجرى منها عمليات التوجيه تلك، كانت في وقت ما «مواقع ويب رسمية ربما زارها المستخدمون كثيراً في الماضي»، موضحاً أنه لا يمكن للمستخدمين معرفة أنها أصبحت تنقلهم الآن إلى صفحات تنزّل برمجيات خبيثة على أجهزتهم.