مدتی می‌شود که لینک‌های زیرِ ویدیوهای یوتیوب یا مقالات ویکی‌پدیا را که در یک مقطع زمانی شروع کردند ریدایرکت شدن به صفحات برنامه‌های شریک[1]، سایت‌های فیشینگ یا حتی بدافزار زیر نظر قرار داده‌ایم. به نظر اینطور می‌آید که مهاجمین تعمداً داشتند دامنه‌ها را می‌خریدند؛ اما همیشه سناریو پیچیده‌تر از اینهاست. همین اواخر، وقتی داشتیم رفتار برنامه‌ای نه چندان جدید را مورد بررسی قرار می‌دادیم، کشف کردیم چطور لینک‌ها به لینک‌هایی مخرب تبدیل می‌شوند. در ادامه با ما همراه شوید تا مفصلاً به این مبحث بپردازیم.

وقتی ابزار دستیار قانونی شرکت Ultima Online به نام Razor Enhanced شروع کرد به امتحان کردنِ دسترسیِ URL مخرب، نظرمان بدان جلب شد.

 

از آنجایی که هیچ چیز مشکوکی در کد برنامه پیدا نکردیم، واضح بود که ایراد کار از جایی دیگر است. وقتی رفتیم سراغ سایتی که برنامه تلاش داشت بدان دسترسی پیدا کند، مقاله خرد[2] در خصوص مزایده‌ا‌ی محبوب که این دامنه را برای فروش گذاشته بود پیدا کردیم. گزارشات WHOIS[3] حاکی از این بود که صاحبش مدتی است پول نام دامنه را پرداخت نمی‌کند و با استفاده از سرویسی مخصوص ردیابی دامنه‌های عرضه‌شده خریداری گشته و بعد در سایت مزایده برای فروش گذاشته شده است.

اگر قرار باشد دامنه‌ای در مزایده برای فروش گذاشته شود، ابتدا می‌بایست روی سرورهای DNS پلت‌فرم معاملاتی قرار گیرد؛ جایی که آنقدر می‌ماند تا بالاخره به صاحب جدیدش انتقال یابد. هرکسی که از این سایت دیدن کند این آگهی را خواهد دید.

 

ما که این صفحه را مدتی است زیر نظر قرار دادیم، متوجه شدیم که گهگاه بازدیدکنندگانی که در ابتدا به وبسایت توسعه‌دهنده‌ی اپ ‌رفتند (وبسایتی که حالا غیرفعال شده است)، به مقاله خرد مزایده برنخوردند اما روی منبع مخرب فرود آمدند (چیزی که در اصل برای Razor Enhanced وقتی که تصمیم گرفت آپدیت‌ها را چک کند افتاد). سپس، دریافتیم که سایت تبلیغاتی مزایده بازدیدکنندگان را نه به منبعی خاص که به وبسایت‌هایی مختلف نظیر وبسایت‌های روی شبکه‌های اینترنتی شرکا ریدایرکت می‌کند. افزون بر این، نوع این ریدایرکت می‌تواند بسته به کشور و عامل کاربری متفاوت باشد: وقتی قربانی از دستگاه macOS دسترسی پیدا می‌کند ممکن است روی صفحه‌ای فرود آید که تروجان Shlayer دانلود می‌کند.

ما فهرست آدرس‌هایی را که Shlayer از آن‌ها دانلود شده بود مورد بررسی قرار دادیم و دریافتیم که اکثریت نام‌های دامنه روی همان پلت‌فرم معاملاتی برای مزایده گذاشته‌اند. بعد تصمیم گرفتیم درخواست‌های منبع (منبعی که کاربران Razor Enhanced بدان ریدایرکت می‌شدند) را چک کنیم. در طی این بررسی متوجه شدیم حدود 100 مقاله خرد دیگر هم روی همین پلت‌فرم معاملاتی وجود دارد؛ خرده متن‌هایی که بازدیدکنندگان خود را به یک آدرس یکسان ارجاع می‌دادند. در طول این بررسی، (به طول کلی) حدود 1000 صفحه‌ی این چنینی پیدا کردیم اما ارقام واقعی شاید بسیار بیشتر از این حرف‌ها باشد.

بر اساس داده‌های مارس 2019 تا فوریه 2020، هشتاد و نه درصد سایت‌هایی که درخواست‌هایی از سوی خرده مقالات بدان‌ها ریدایرکت شده بود مضمون تبلیغاتی داشتند. 11 درصد باقیمانده هم تهدیدی به شدت جدی به حساب می‌آمدند: آن‌ها کاربر را مجبور می‌کننده به نصب بدافزار یا دانلود MS Office یا داکیومنت‌های مخرب به همراه لینک‌هایی به وبسایت‌های جعلی و غیره.

می‌شود اینطور پنداشت که یکی از منابع مالی مجرمان سایبری، تولید ترافیک برای صفحات برنامه‌ی شریک است (هم آگهی‌های تبلیغاتی و هم تبلیغات مخرب و آلوده). بعنوان مثال، چنین منبعی در عرض ده روز (به طور متوسط) حدود 600 درخواست ریدایرکت از سوی برنامه‌ها دریافت می‌کند که مانند Razor Enhanced تلاش دارند به سایت توسعه‌دهنده دسترسی پیدا کنند.

دست‌های پشت‌پرده!

فرضیه‌های مختلفی در این میان وجود دارد که محتمل‌ترینش این است: ریدایرکت‌های آلوده از ماژولی دستور می‌گیرند که محتوای شبکه‌ی آگهی طرف‌سوم را نمایش می‌دهد. ترافیک آلوده می‌تواند در پی عدم فیلتر آگهی پدیدار شود و یا چون مهاجمین برای تغییر تنظیمات و جایگزینیِ ریدایرکت‌ها در ماژول تبلیغاتی (یا خود پلت‌فرم معاملاتی) از آسیب‌پذیری‌ها استفاده می‌کنند. برای نتیجه‌گیری کردن خیلی زود است اما بر اساس داده‌هایی که تاکنون جمع‌آوری ‌شده، می‌توان فرض را بر این گرفت که ما با شبکه‌ای (بخوبی) سازمان‌یافته –و شاید به زیرکی مدیریت‌شده- سر و کار داریم که می‌تواند با استفاده از ریدایرکت‌هایی از سوی نام دامنه‌های قانونی و منابع یکی از بزرگ‌ترین و قدیمی‌ترین مزایده‌های دامنه جریان‌های ترافیک را به سایت‌های مجرمان سایبری دایورت کند.

مشکل اصلی برای بازدیدکنندگانِ منابع قانونی این است که بدون راهکاری امنیتی آن‌ها قادر نخواهند بود جلوی ریدایرکت شدن به سایت آلوده را بگیرند. علاوه بر این، برخی بازدیدکنندگان از چنین سایت‌هایی ممکن است با تایپ کردن آدرس از حفظ، کلیک روی لینکی در پنجره About اپی که از آن استفاده می‌کنند و یا پیدا کردنشان در موتورهای جست‌وجو مسیرشان به آنجا بیافتد. 

 

 

 

منبع: کسپرسکی آنلاین