Системы направления трафика (TDS) массово распространяют нежелательные программы через пиратский контент

Кампания эксплуатирует интерес пользователей к бесплатным версиям платного контента. В частности, злоумышленники ориентируются на тех, кто ищет PDF-копии популярных книг или взломанные версии лицензионного программного обеспечения и компьютерных игр. Соответственно, начальные сайты в цепочке перенаправлений представляют собой страницы с капчей, которая отфильтровывает веб-краулеры и автоматизированные системы сканирования.

После успешного прохождения капчи начинается этап сбора цифровых отпечатков. Для этого используются две специализированные библиотеки - ThumbmarkJS и FingerprintJS. Они анализируют множество параметров браузера и устройства, включая версию ОС, установленные плагины, разрешение экрана и другие характеристики. Только после подтверждения, что трафик исходит от реального пользователя, а не автоматизированной системы, запускается цепочка перенаправлений.

Цепочка перенаправлений включает промежуточные домены mqdownload[.]com и yuisshare[.]com, которые ведут на финальные страницы загрузки. Конечные домены locked-link[.]com, installxcheck[.]com и ggclicker[.]com содержат кнопки скачивания. Однако перед получением файла пользователю предлагается выполнить дополнительное действие - обычно установить специализированную версию веб-браузера или браузерное расширение.

Эксперты отмечают, что подобная схема демонстрирует эволюцию методов распространения PUP. Во-первых, использование TDS позволяет злоумышленникам гибко управлять трафиком и оперативно менять финальные точки распространения. Во-вторых, многоуровневая система проверок значительно затрудняет автоматическое обнаружение и анализ такой активности системами безопасности.

Особую озабоченность вызывает применение продвинутых методов fingerprinting. Библиотеки ThumbmarkJS и FingerprintJS способны создавать уникальные идентификаторы устройств на основе десятков параметров. Это позволяет злоумышленникам не только отличать реальных пользователей от ботов, но и отслеживать повторные посещения одних и тех же лиц.

Данная кампания демонстрирует растущую изощренность методов распространения нежелательного ПО. Пользователи, пытающиеся сэкономить на приобретении лицензионного контента, фактически платят установкой нежелательных программ. Часто такие приложения изменяют настройки браузера, показывают навязчивую рекламу или собирают данные о поведении пользователей в интернете.

Специалисты по безопасности рекомендуют избегать сайтов, предлагающих пиратский контент, поскольку они часто становятся источниками не только PUP, но и более опасных угроз. Кроме того, важно обращать внимание на доменные имена в адресной строке - использование подозрительных или новорегистрированных доменов должно вызывать настороженность.

Обнаруженная активность свидетельствует о необходимости комплексного подхода к безопасности. Простых решений вроде базовых антивирусов уже недостаточно для противодействия современным угрозам. Организации должны внедрять многоуровневую защиту, включающую анализ сетевого трафика, мониторинг поведения и системы обнаружения аномалий.

В заключение стоит отметить, что борьба с TDS-активностью требует совместных усилий исследователей безопасности, интернет-провайдеров и правоохранительных органов. Только скоординированные действия помогут эффективно противодействовать подобным угрозам и защитить пользователей от нежелательных программ.

Domains

• afile2.com
• allfile.me
• approximum.com
• batoidpredetainheild.com
• benozoxev.mofien.co.za
• berapt-medii.com
• bitira.ragaz.co.za
• buyfile-enter-net.com
• click.tmatrack.online
• click.trackamour.click
• cloudcrategen.store
• cloudfreefiles.info
• creamy.net.ru
• cycasinrobotlikescapement.com
• dallesmisalignedvirginia.com
• dashastore.top
• dicyclistclokemyoneure.com
• dosya-indirici.online
• downloadsum.com
• downstack.space
• driptrip.trckswrm.com
• drivebeam.cyou
• epirotemidmonthsbeadroll.com
• fastsbasicsmakes.pics
• file-enter-web.com
• gatosrestaurante.com
• gostoragefile.forum
• grabflow.cyou
• hookcheckmicrocodechilte.com
• installxcheck.com
• launchingsdrynessesblinds.com
• leadgainz.com
• links.m2mediagroup.mkt5930.com
• locked-link.com
• maundiesbondocmetalize.com
• mauthernarghilesenergized.com
• maworopane.nurepikis.com
• misclassecruszoonomy.com
• mqdownload.com
• nonepost.com
• outardesynchysisuruguayans.com
• outslipoopackshampooers.com
• overfearpeonageschitosans.com
• pinkypie.net.ru
• pixeltrey.com
• preshowstophwhillikins.com
• prurientreplaygoings.com
• pythogenicwagangoptimizes.com
• quiddanyvinhaticobagwigs.com
• realmoreupload.com
• rebiayarnersdistillage.com
• recasketmoropuscoshery.com
• redirwise.com
• result2.jeeadv.ac.in
• severancepichurimaval.com
• sheratanteethyknevel.com
• spitkidphantastsguitarlike.com
• spooniestaversjuggling.com
• storageshq.com
• storageshub.com
• strobilusvocaliseleucitis.com
• thefile-share-every-fun.com
• thenadrattlenarcotical.com
• track.safechecklink.com
• tracki.click
• tracking.pretrackings.com
• trxadx.com
• unreasonsjewelhousecommodatum.com
• usedownloads.com
• usestorages.com
• wainscotedpolygraphchiromancy.com
• wenuwibefu.nurepikis.com
• winkraven.com
• wubagojobazu.nurepikis.com
• yuishare.com
• zutaguganonepij.eelruxe.com

URLs

• https://batoidpredetainheild.com/DSrK4fc708fd2eb998a7b115061c20778631065981bc3?q=Goat%20Simulator%203
• https://locked-link.com/JXNjsy291OskMZJxnYYsax?a=0&u=180990&t=the_associated_press_stylebook_2024_2026_pdf_epub.zip&tracker=ds2-1-Android&f=126&m=126&c2=MTQ4NTA2MjQ3
• https://mqdownload.com/x/QDHKGKH?source=353529&title=install+full+video2187&tracker=AOFZAmn5ZAUAXlYCAFVTOQASAAAAAACO