01/12/25
Специалисты Bitsight обнаружили домены, с которых ежедневно поступали запросы примерно от 4 млн устройств на iOS и macOS. Любой, кто перерегистрирует такие домены, получает возможность незаметно добавлять события в календари пользователей — с ссылками, файлами и любым другим контентом, пишет Securitylab.
Если домен перерегистрирован киберпреступниками, в календаре начинают появляться навязчивые напоминания, фишинговые ссылки, поддельные уведомления об антивирусах или VPN — всё, что может заставить жертву кликнуть.
Специалисты обнаружили сотни таких доменов, многие из которых контактировали с миллионами уникальных IP-адресов. Запросы явно исходили не от новых подписок, а от давних, забытых пользователями календарей — например, с праздниками разных стран. Достаточно лишь перехватить домен, чтобы мгновенно получить «канал доставки» на огромное количество устройств.
Параллельно Bitsight выявили целую инфраструктуру, направленную на массовое распространение вредоносных подписок: взломанные сайты незаметно подгружали обфусцированные скрипты, которые перенаправляли посетителей на поддельные CAPTCHA-страницы. Там жертв убеждали нажать «Разрешить» — якобы для прохождения проверки, а на деле это активировало подписку сразу на push-уведомления или календарные события. Такие цепочки редиректов часто использовали домены с .biz и .bid и были связаны с известной вредоносной кампанией Balada Injector.
Эта схема была не единственной. Исследователи нашли APK-файлы и PDF-документы, ведущие к тем же цепочкам. Android-приложения маскировались под игры, скрывались после запуска и открывали нужные URL через WebView. PDF-файлы содержали tinyurl-ссылки, ведущие на те же поддельные страницы. Вся инфраструктура была хорошо организована: десятки хостингов, сотни доменов, тысячи APK, единые сертификаты и взаимосвязанная сетка редиректов.
Монетизация тоже оказалась вполне конкретной. Существуют рекламные платформы, которые уже продают «место» в календаре — можно купить показ своего события на устройстве пользователя, продвигать VPN, игры или сервисы. Такие объявления выглядят как обычные напоминания, а целевая аудитория — владельцы iOS-устройств — считается «платёжеспособной». Злоумышленники активно используют методы фишинга для распространения таких схем.
Несмотря на масштаб проблемы, защиты почти нет. MDM-решения не могут запретить пользователям добавлять свои подписки или даже просмотреть список уже существующих. Проверки, фильтры, антивирусная аналитика — всё это развито для e-mail, но почти отсутствует для календарей, которые воспринимаются как заведомо безопасный инструмент.
