Проверки возраста смещают трафик на сайты, распространяющие трояны

Изменения в законодательстве, требующие обязательной проверки возраста на сайтах для взрослых, привели к неожиданному побочному эффекту: часть трафика уходит на сайты, не соблюдающие правила безопасности и монетизирующие посещения за счёт распространения вредоносного ПО. Злоумышленники используют такую миграцию аудитории, чтобы распространять троянские программы и компрометировать пользователей на стороне клиента.

В чем суть угрозы

Когда пользователи пытаются обойти механизмы верификации (например, через VPN или заходя из юрисдикций без обязательной проверки), они чаще обращаются к альтернативным, менее контролируемым ресурсам. Именно эти ресурсы становятся привлекательной целью для злоумышленников: сайты принимают трафик и распространяют вредоносные целевые страницы, встроенные скрипты или комплектуют загрузки дополнительными троянами.

«Пользователи, пытающиеся обойти ограничения, непреднамеренно концентрируют предпочтительный для злоумышленников трафик и становятся более ценными целями».

Как работают злоумышленники

• Создают или сотрудничают с сайтами, готовыми обходить правила безопасности и распространять malware;
• Разворачивают доменную инфраструктуру для размещения полезных нагрузок и промежуточной обработки (domain/URL hosting);
• Используют вредоносные целевые страницы, встроенные скрипты или комплекты загрузок, которые автоматически запускают загрузку трояна или подталкивают пользователя к установке;
• Применяют социальные подсказки и механизмы автоматической загрузки для повышения вероятности установки вредоносной программы.

Кого в прицел

Особо уязвимой группой становятся пользователи, стремящиеся к конфиденциальности: те, кто пользуется VPN, прокси или специально ищет сайты без верификации. Их активность концентрирует трафик на ресурсах, которые злоумышленники считают более «доходными» и менее контролируемыми.

Реакция поставщиков безопасности

Поставщики средств защиты уже отреагировали: связанная с кампанией доменная инфраструктура добавляется в blocklists, а вредоносные полезные нагрузки фиксируются средствами поведенческого анализа во время выполнения. Эти меры помогают снизить распространение, но приоритетом остаётся своевременное обновление средств защиты у конечных пользователей и организаций.

Практические рекомендации по защите

• Актуальная защита от вредоносного ПО в режиме реального времени: поддерживать антивирус/EDR в актуальном состоянии и включённым;
• Фильтрация доменов и URL: использовать надежные блок-листы на уровне DNS/proxy и веб-фильтрации;
• Минимизация доступа: ограничить доступ к ненадёжным сайтам и запрещать авто-загрузки из непроверенных источников;
• Отключить автоматический запуск загружаемых файлов и использовать sandbox/Browser isolation для непроверенных страниц;
• Использовать скрипт-блокеры и расширения, снижающие риск drive-by загрузок;
• Мониторинг и занесение в черный список доменов кампании, а также ведение и обмен индикаторами компрометации (IoC) между организациями;
• Для пользователей VPN — предпочитать проверенные сервисы и избегать сомнительных агрегаторов ссылок и сайтов, позиционирующих себя как «альтернативы» легальным ресурсам.

Вывод

Перенос трафика из-за требований к верификации возраста создал благоприятную среду для распространения троянов через сомнительные сайты. Борьба с этой угрозой требует как со стороны отрасли (блокировка доменов, поведенческая детекция), так и от конечных пользователей и организаций — соблюдения базовых практик безопасности: обновлённой антивирусной защиты, фильтрации доменов/URL и осторожного обращения с загрузками и соединениями через непроверенные сервисы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.