Захват браузера: увеличение доменов фальшивых поисковых сайтов

security

Компания Palo Alto отмечает рост доменной инфраструктуры для обманных поисковых сайтов, имитирующих страницу «Новая вкладка» Google Chrome.

Описание

  • Эти домены связаны с захватом браузера (Browser Hijacking).
  • Под захватом браузера обычно понимаются нежелательные изменения в веб-браузере с помощью настроек, расширений, плагинов или вредоносного ПО.
  • Этот вид деятельности может привести к вредоносным перенаправлениям во время обычного просмотра веб-страниц, а также к краже конфиденциальных данных.
  •  Несмотря на внешний вид, эти страницы стараются избегать явного брендинга Google или Chrome.
  •  Связанная с ними деятельность по захвату браузера может представлять следующие риски:
    • отслеживание привычек и поисковых запросов пользователя
    • перенаправление браузера пользователя на вредоносный контент
    • развертывание потенциально нежелательных программ (PUP).
  • Всплеск регистраций доменов для предыдущего поколения страниц поискового захвата произошел в третьем квартале 2022 года.
  • Предыдущее поколение страниц поискового захвата было очень простым, без изображений.
  • Нынешнее поколение страниц поискового захвата имитирует страницу «Новая вкладка» для браузера Chrome.
  • Всплеск регистраций доменов для текущего поколения страниц поискового захвата произошел в IV квартале 2024 года.
  • С тех пор Palo Alto отслеживают это новое поколение и видим:
    • 80 тыс.+ посещений этих доменов из клиентских сред
    • 100 тыс.+ пассивных разрешений DNS
  • Эти домены имеют префиксы (поддомены) drop. или cast.
  • Связанные с ними URL-адреса имеют одинаковый шаблон /query/p/to.
  • Связанные с ними серверы собирают поисковые строки и информацию о платформе перед перенаправлением в поисковые системы Bing, Yahoo и Google.

Индикаторы компрометации

Domains

  • ab.cococococ.com
  • bring.buddychck.com
  • brng.seekmanager.com
  • cast.avilornik.com
  • cast.explrskills.com
  • cast.imgothis.com
  • cast.larianiot.com
  • cast.martelok.com
  • cast.sarchcrystal.com
  • cast.skillsfnder.com
  • cast.sklitright.com
  • cast.srchiced.com
  • coastalvibesapp.com
  • der.gotojcf.com
  • drop.bringcntrl.com
  • drop.bringithis.com
  • dsc.searcharchiver.com
  • dsc.searchfpapp.com
  • dsc.sharksearchonline.com
  • dsc.zoremov.com
  • eli.comoneet.com
  • ella.solognei.com
  • explr.brngmypdf.com
  • find.searchmyhub.com
  • find.searchtoolshub.com
  • ful.hartonly.com
  • fuo.brgtitnow.com
  • gato.liveligoto.com
  • get.seekentral.com
  • go.bonefreeze.com
  • go.deepteep.com
  • go.knightsearcher.com
  • go.mennythanks.com
  • go.normandoh.com
  • go.paradiskus.com
  • go.trawanan.com
  • goci.iminogco.com
  • goto.easysearchonline.com
  • goto.genisrch.com
  • goto.searchpoweronline.com
  • goto.searchproonline.com
  • goto.searchwithtabatoo.com
  • grt.imsrcgo.com
  • grt.thisbrng.com
  • hpy.diamondcry.com
  • hub.scoutitech.com
  • ishi.dorbani.com
  • juv.scoutjcf.com
  • lack.gotosrch.com
  • laki.kolkolif.com
  • lock.checkitley.com
  • loli.gradilsk.com
  • lookup.findmyscreen.com
  • lookup.justsrch.com
  • lookup.searchconapp.com
  • lookup.searchexfree.com
  • lookup.searchitfalc.com
  • lookup.searchitnext.com
  • lookup.searchitral.com
  • lookup.searchitziptech.com
  • lookup.searchlig.com
  • lookup.searchmyppro.com
  • lookup.searchshar.com
  • lookup.searchzr.com
  • lookup.seekittral.com
  • lookup.seekitzip.com
  • misho.sodirant.com
  • nex.justitsrch.com
  • nor.convertitmas.com
  • nsp.gifsearchutils.com
  • nsp.screensearchutils.com
  • nsp.searchziputils.com
  • opit.othersar.com
  • pack.brisrch.com
  • per.loringoit.com
  • pont.romiron.com
  • retrorevivesearch.com
  • riki.rikodis.com
  • row.pltcli.com
  • run.fastsrch.com
  • seek.xplrthis.com
  • shok.lostient.com
  • stat.download.xunlei.com
  • tlh.srchconv.com
  • www.searchletter.com
  • zsrc.searchmagiconline.com
Комментарии: 0