Припаркованные домены как площадка для вредоносной рекламы и фишинга

Припаркованные домены, часто воспринимаемые как безобидные страницы с рекламой, превратились в серьёзную киберугрозу. Анализ показал: при переходе пользователей на такие домены значительная часть трафика перенаправляется на вредоносные целевые страницы, а большая доля трафика продаётся партнёрским рекламным сетям. Такое несоответствие между адресом домена и конечной рекламой затрудняет атрибуцию и создаёт значительный риск для ничего не подозревающих пользователей.

Ключевые выводы

• При посещении припаркованных доменов пользователи часто попадают на целевые страницы с вредоносным или нерелевантным контентом.
• Большая часть трафика централизованно продаётся партнёрским рекламным сетям, что усложняет отслеживание источника угроз.
• Злонамеренные рекламодатели и владельцы доменов (физические или юридические лица с большими портфелями) совместно создают экономику монетизации вредоносного трафика.
• Используются сложные техники уклонения от обнаружения, включая double fast flux и typosquatting.

Дело Scotaibank.com: пример цепочек перенаправлений

Наиболее наглядным примером рисков стал случай Scotaibank.com. Тщательный анализ выявил сложные пути перенаправления, ведущие к различным опасностям: распространение вредоносного ПО, мошеннические схемы и нерелевантный контент. Обнаруженные целевые страницы варьировались от подозрительных до откровенно вредоносных, что демонстрирует, как распределение трафика по припаркованным доменам создаёт опасную среду для пользователей Интернета.

«Распространение трафика по цепочкам перенаправлений и продажа его через партнёрские сети делают атрибуцию и блокировку таких угроз особенно сложными», — отмечают исследователи.

Кто стоит за этой схемой: рекламодатели и владельцы доменов

Злонамеренные рекламодатели играют значительную роль, но не менее важны и сами владельцы доменов — те, кто владеет большими портфелями доменов. Такие «доменщики» часто контролируют многочисленные домены‑двойники, использующие распространённые опечатки (typosquatting), и перенаправляют трафик на потенциально вредоносную рекламу. Монетизация припаркованных доменов стала прибыльной бизнес‑моделью, которую используют многие владельцы, повышая риск для пользователей.

Техники уклонения: double fast flux и typosquatting

Исследование выделяет две особо опасные техники:

• Double fast flux: изменение как NS‑записей (серверов имён), так и IP‑адресов, связанных с доменом. Такая двойная ротация редко применяется из‑за сложности реализации, но при применении значительно затрудняет отслеживание и блокировку вредоносной инфраструктуры. Эта техника зафиксирована у владельцев с портфелем порядка 80 000 доменов.
• Typosquatting: использование распространённых опечаток в записях DNS для перенаправления пользователей на вредоносный контент. В одном из случаев была отмечена атака, нацеленная на пользователей Cloudflare DNS, в которой злоумышленники, стоящие за domaincntrol.com, использовали типографские ошибки для захвата трафика.

Последствия и значимость

Совмещение большого количества припаркованных доменов, сложных рекламных цепочек и техник уклонения создаёт устойчивую и трудноудаляемую экосистему угроз. Для пользователей это означает повышенный риск заражения вредоносным ПО, кражи данных и участия в мошеннических схемах без очевидных признаков компрометации.

Вывод

Проблема припаркованных доменов выходит за рамки простой «рекламы на пустых страницах». Это система, где коммерческие интересы, злоумышленники и технические уловки создают опасный ландшафт. Для противодействия необходима координация между правообладателями доменов, рекламными сетями и провайдерами DNS, а также повышение осведомлённости пользователей о рисках перехода по непроверенным доменам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.