Sicher & Anonym, Tipp des Tages, Verschlüsselung & Datensicherheit

Wenn Malware sich als normale Domain ausgibt

Was tun, wenn ich auf einer bösartigen Landingpage ankomme?

Bösartige Malware versteckt sich hinter gutartigen Domains - Was tun, wenn die Landingpage plötzlich bösartig ist?
Foto: Palo Alto Networks

Domain-Parking-Dienste bieten eine einfache Lösung für Domaininhaber, den Verkehr ihrer Websites durch Werbung Dritter zu monetarisieren. Während Domain Parking auf den ersten Blick harmlos erscheinen mag, stellen geparkte Domains eine erhebliche Bedrohung dar, da sie Besucher auf böswillige oder unerwünschte Landingpages umleiten oder zu jedem Zeitpunkt völlig bösartig werden können.

Von März bis September 2020 haben die Sicherheitsforscher von Palo Alto Networks fünf Millionen neu geparkte Domains identifiziert. Im gleichen Zeitraum haben die Forscher beobachtet, dass sechs Millionen geparkte Domains in andere Kategorien übergegangen sind. Von den vorübergehend geparkten Domains wechselten 1,0 Prozent zu bösartigen Kategorien (wie Phishing oder Malware), 2,6 Prozent zu Kategorien, die nicht mit der Arbeit vereinbar sind (wie Erwachseneninhalte oder Glücksspiele), und 30,6 Prozent zu verdächtigen Kategorien (fragwürdig oder mit hohem Risiko). Im Vergleich zu einer gutartigen Domain wie Internet-Informationen oder -Shopping hat eine geparkte Domain eine achtmal höhere Wahrscheinlichkeit, ihre Kategorie in eine der oben genannten nicht gutartigen Kategorien zu ändern.

Die wichtigsten Ergebnisse des Reports

  • Verfolgung der Web-Aktivitäten von Benutzern: Die Domain peoplesvote[.]uk steht im Zusammenhang mit den aktuellen US-Präsidentschaftswahlen missbrauchten. Die Benutzer werden auf eine Umfrage-Website weitergeleitet, auf der sie nach der Wahlpräferenz für Joe Biden oder Donald Trump befragt werden. Ein Exploit-Kit erstellt im Stillen Fingerabdrücke des Browsers, um die Web-Aktivitäten der Benutzer zu verfolgen. Bemerkenswert ist, dass diese Seiten immer noch aktiv sind.
  • Verbreitung von Emotet über Phishing-E-Mails: Im Rahmen einer globalen Emotet-Kampagne wurde der bösartige Lebenszyklus der Domain valleymedicalandsurgicalclinic[.]com beoachtet, die nicht mehr aktiv ist. Während dieser Kampagne verfolgte Palo Alto Networks Angriffe gegen Unternehmen und Institutionen in verschiedenen Branchen (beispielsweise im Bildungswesen, in der Regierung, Energie, Fertigung, im Bauwesen und in der Telekommunikation) auf der ganzen Welt, darunter in den USA, Großbritannien, Frankreich, Japan, Korea und Italien. Der Angriff, der sich gegen französische Organisationen richtete, nutzte auch die globale COVID-19-Pandemie als Betreffzeile der Phishing-E-Mail aus. Keiner dieser Angriffe war erfolgreich.
  • Missbrauch des Partnerprogramms von McAfee: Die Domain, xifinity[.]com leitete Benutzer auf eine manipulierte Landingpage, antivirus-protection[.]com-123[.]xyz um. Beide Domains sind derzeit aktiv. Die Landing Page versucht, den Benutzernzu vermitteln, ihr Rechner sei infiziert und ihr McAfee-Abonnement sei abgelaufen. Durch Klicken auf die Schaltfläche „Proceed“ werden Benutzer auf eine legitime Downloadseite von McAfee weitergeleitet, die ein Antiviren-Abonnement anbietet. Palo Alto Networks glaubt, dass Angreifer das Partnerprogramm von McAfee missbrauchen, um Werbeeinnahmen zu stehlen.

Domain-Parking – das steckt dahinter

Einzelpersonen und Unternehmen müssen Registrierungsstellen (ICANN-akkreditierte Domainreseller) eine jährliche Gebühr zahlen, um Domainnamen zu kaufen und Domaininhaber zu werden. Wenn Domainbesitzer keinen Inhalt oder Service haben, auf den sie ihre Domains verweisen können, können sie Parking-Services nutzen, um den Benutzerverkehr zu monetarisieren. Die Einrichtung eines Parking-Services ist einfach und erfordert nur, dass Domaininhaber ihre Name-Server (NS)-Einträge auf den Parking-Service verweisen. Im Gegenzug präsentieren Parking-Dienste den Besuchern entweder eine Liste mit Werbeanzeigen oder leiten die Benutzer automatisch auf die Webseiten der Inserenten um. Im ersten Fall werden Domaininhaber und Parking-Services bezahlt, wenn ein Benutzer auf eine Anzeige klickt, während sie im zweiten Fall pro Benutzerbesuch bezahlt werden. Einige Domaininhaber kaufen große Mengen an Domainnamen als Investition, um sie später gewinnbringend weiterzuverkaufen oder um den Benutzerverkehr zu monetarisieren. Wie aus früheren Forschungsstudien und diesem Blog hervorgeht, können geparkte Domains eine erhebliche Bedrohung für Endbenutzer darstellen. Aus diesem Grund und wegen ihres fragwürdigen Nutzens ist es möglicherweise am besten, geparkte Domains zu blockieren.

Die Sicherheitsforscher von Palo Alto Networks haben eine umfassende Pipeline zur Verfolgung neu geparkter Domains und zur Veröffentlichung der Erkennungsergebnisse für die URL-Filterung bereitgestellt. Kürzlich wurde diese Kategorie auch in DNS Security eingeführt. Die Pipeline mit den entsprechenden Maßnahmen umfasst:

  • Überwachung bekannter geparkter Serviceprovider und deren Infrastruktur.
  • Verfolgung von Domainregistrierungen und passiven DNS-Abfragen sowie Durchführung von Reverse-DNS-Lookups.
  • Durchsuchen von Website-Inhalten.
  • Einsatz von maschinellem Lernen, um mehrere Merkmale zu kombinieren und zu klassifizieren, ob eine Domain geparkt ist.

Das Fazit über die Sicherheitsbedrohungen

Zusammenfassend lässt sich sagen, dass geparkte Domains Benutzer Bedrohungen aussetzen können, da sie Besucher auf böswillige oder unerwünschte Landingpages umleiten oder in Zukunft vollends böswillig werden können. Die beste Sicherheitspraxis für Unternehmen besteht darin, geparkte Domains genau im Auge zu behalten, während Privatnutzer darauf achten sollten, dass sie Domainnamen korrekt eingeben, und vor dem Besuch einer Website überprüfen sollten, ob die Domaininhaber vertrauenswürdig sind.

 

Mehr Informationen zum Bericht und zum Thema Domain Parking hat Palo Alto Networks online.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben