Эти ссылки, замаскированные под тематически подходящие публикации, перенаправляют жертв на фишинговые сайты, загрузку вредоносное ПО или страницы с рекламным мошенничеством, пишет Securitylab.
Предварительно такие ссылки выглядят безвредными, поэтому у пользователей не возникает сомнений. Уникальность ситуации заключается в том, что жертвы легко могут попасть в ловушку благодаря правдоподобной предварительной настройке ссылок через соцсети.
В ходе расследования один из таких ресурсов, размещённых на Blogspot, вел на фишинговую страницу, имитирующую техподдержку Windows. Анализ сайта показал использование JavaScript-кода для перенаправления в зависимости от операционной системы пользователя. Примечательно, что злоумышленники применяли поддомены Azure, злоупотребляя репутацией Microsoft для обхода спам-фильтров.
Одним из инструментов расследования стало применение командной строки для извлечения содержимого страниц. Для скрытия своих действий злоумышленники применяют различные техники, включая обфускацию, внедрение скрытых редиректов и блокировку доступа через VPN. Дополнительным методом маскировки стало использование фальшивых CAPTCHA и видеоплееров, призывающих установить якобы необходимое ПО. Более того, некоторые сайты адаптируют интерфейс под язык пользователя, увеличивая вероятность нажатия на вредоносную ссылку.
Распределение вредоносных ссылок происходит через более 130 000 доменов, задействованных в кампании ApateWeb, ранее идентифицированной специалистами. Значимым открытием стали домены управления, которые динамически перенаправляют пользователей на мошеннические сайты. Интересной особенностью стали ответы Empty OK, возвращаемые некоторыми доменами для обхода блокировок.