Новое исследование показало, что парковочные домены, которые долгое время считались относительно безвредными, превратились в один из ключевых инструментов киберпреступников. Эксперты выяснили, что сегодня более 90% посетителей таких доменов перенаправляются на мошеннические сайты, программы-вымогатели (ransomware) или шпионское ПО. Угроза исходит не только от злонамеренных рекламодателей, но и от владельцев крупных портфелей доменных имен, которые активно манипулируют трафиком.
Описание
Иллюстрацией проблемы стала случайная ошибка одного из исследователей. При попытке посетить сайт Центра жалоб на интернет-преступления ФБР (IC3) по адресу ic3[.]gov он опечатался и зашел на ic3[.]org. Его мобильный браузер мгновенно был перенаправлен на фальшивую страницу с сообщением «Подписка на Drive истекла». В этом случае пользователю повезло - он столкнулся лишь с мошенничеством. Однако, по данным исследования, с такой же вероятностью он мог получить троян или стилер.
![Сканирование сайта ic3[.]org, похожего на веб-сайт Центра по рассмотрению жалоб на интернет-преступления ФБР, выдало неопасную страницу с информацией о блокировке](https://1275.ru/wp-content/uploads/2025/12/parking.png)
Ключевую роль в этой угрозе играет технология «прямого поиска» (direct search) или «парковки с нулевым кликом». Когда владелец домена подключает эту опцию, трафик на неиспользуемый адрес автоматически продается рекламодателям. В результате пользователь проходит через цепочку систем распределения трафика (TDS), управляемых сторонними рекламными платформами. Эта сложная схема позволяет легальную бизнес-модель превратить в инструмент для распространения вредоносного контента.
Ситуация резко обострилась за последнее десятилетие. Если в 2014 году исследователи оценивали вероятность встречи с вредоносным контентом на парковочных страницах менее чем в 5%, то сейчас ситуация обратная. Злонамеренный контент стал нормой. Кроме случайных опечаток, киберпреступники целенаправленно скупают старые или похожие на брендовые домены, чтобы перенаправлять жертв. Также угрозу усугубляет искусственный интеллект. Чат-боты, обучающиеся на истории интернета, могут предлагать в ответах устаревшие URL. Если эти домены перехвачены злоумышленниками, ссылка из, казалось бы, доверенного ИИ-ассистента ведет на опасный сайт.
Первый оператор управляет портфелем почти из трех тысяч доменов, похожих на адреса крупнейших брендов, включая scotaibank[.]com (опечатка Scotiabank) и gmai[.]com (опечатка Gmail). Владелец использует выделенные серверы имен (например, torresdns[.]com) и применяет систему «отбеливания» (whitewashing). Она анализирует посетителя: если подключение идет с IP-адреса облачного сервиса или коммерческого VPN, пользователь видит безобидную парковочную страницу. Однако трафик с домашних IP-адресов отправляется в систему прямого поиска, где в 90% случаев ведет к мошенничеству или вредоносному ПО. При этом домен gmai[.]com также настроен на прием почты, что активно используется в фишинговых кампаниях и для сбора конфиденциальной информации.
Второй оператор использует сложную технику «двойного быстрого флукса» (double fast flux) для доменов в своем портфеле (около 80 000), включая упомянутый ic3[.]org. Он постоянно и быстро меняет как IP-адреса, так и серверы имен своих доменов, что значительно затрудняет их блокировку и отслеживание. Этот оператор также применяет профилирование, чтобы отсеивать сканеры безопасности и направлять реальных пользователей к рекламодателям, часто связанным с нежелательным или вредоносным контентом.
Третий оператор использует домен domaincntrol[.]com, который всего на одну букву отличается от серверов имен крупнейшего регистратора GoDaddy (domaincontrol[.]com). Трафик поступает к нему двумя путями: когда законные владельцы сайтов по ошибке прописывают в настройках DNS опечатку, а также через устаревшие ссылки на купленные им просроченные домены. Особенностью этой кампании является то, что с лета 2025 года она целенаправленно нацелена только на пользователей безопасного DNS-сервиса Cloudflare (1.1.1.1). Посетители таких сайтов перенаправляются на страницы с атакой ClickFix, ведущей к загрузке вредоносного ПО, например, трояна Babar.
Исследователи отмечают, что сама архитектура прямого поиска создает парадокс безопасности. Респектабельные парковочные платформы проводят проверку своих прямых клиентов (KYC), но конечный рекламодатель, размещающий вредоносный контент, часто находится далеко внизу по цепочке перенаправлений и остается анонимным. Более того, политика Google, ужесточившая в марте 2025 года правила для рекламы на парковочных страницах, может непреднамеренно усугубить проблему. В ответ на падение доходов владельцы доменов массово переходят на более агрессивную модель прямого поиска, что увеличивает риски для обычных пользователей.
Таким образом, парковочные домены превратились в серьезную угрозу кибербезопасности. Простая опечатка в адресной строке с высокой вероятностью может привести к заражению компьютера или финансовой потере. Эксперты подчеркивают, что для противодействия этой угрозе необходимы согласованные усилия регистраторов, парковочных платформ, рекламных сетей и самих пользователей, которым следует быть предельно внимательными при вводе URL.
Индикаторы компрометации
Domains
- chatterjamtagbirdfile.monster
- colaureat.icu
- digesttech.com
- drizzledrape.co
- installupdate.online
- safezonefirewall.com
- sportswear.homes
- velixnero.co.in
SHA256
- 4a3497d66a64c22342d855d2da370c9a4351e6403bbd224093c4b348bd611df4
- 86586f6954da38e5a5df7e56334ef98e74838dee68de0355ae4fe03d36c82502
- c3f1f456419f39f19c9e0d5aae2b50f701abe517a3cc2952869e516b260dbf88
