Захват браузера: увеличение доменов фальшивых поисковых сайтов

• Эти домены связаны с захватом браузера (Browser Hijacking).
• Под захватом браузера обычно понимаются нежелательные изменения в веб-браузере с помощью настроек, расширений, плагинов или вредоносного ПО.
• Этот вид деятельности может привести к вредоносным перенаправлениям во время обычного просмотра веб-страниц, а также к краже конфиденциальных данных.
•  Несмотря на внешний вид, эти страницы стараются избегать явного брендинга Google или Chrome.
•  Связанная с ними деятельность по захвату браузера может представлять следующие риски:
  • отслеживание привычек и поисковых запросов пользователя
  • перенаправление браузера пользователя на вредоносный контент
  • развертывание потенциально нежелательных программ (PUP).
• Всплеск регистраций доменов для предыдущего поколения страниц поискового захвата произошел в третьем квартале 2022 года.
• Предыдущее поколение страниц поискового захвата было очень простым, без изображений.
• Нынешнее поколение страниц поискового захвата имитирует страницу «Новая вкладка» для браузера Chrome.
• Всплеск регистраций доменов для текущего поколения страниц поискового захвата произошел в IV квартале 2024 года.
• С тех пор Palo Alto отслеживают это новое поколение и видим:
  • 80 тыс.+ посещений этих доменов из клиентских сред
  • 100 тыс.+ пассивных разрешений DNS
• Эти домены имеют префиксы (поддомены) drop. или cast.
• Связанные с ними URL-адреса имеют одинаковый шаблон /query/p/to.
• Связанные с ними серверы собирают поисковые строки и информацию о платформе перед перенаправлением в поисковые системы Bing, Yahoo и Google.

Domains

• ab.cococococ.com
• bring.buddychck.com
• brng.seekmanager.com
• cast.avilornik.com
• cast.explrskills.com
• cast.imgothis.com
• cast.larianiot.com
• cast.martelok.com
• cast.sarchcrystal.com
• cast.skillsfnder.com
• cast.sklitright.com
• cast.srchiced.com
• coastalvibesapp.com
• der.gotojcf.com
• drop.bringcntrl.com
• drop.bringithis.com
• dsc.searcharchiver.com
• dsc.searchfpapp.com
• dsc.sharksearchonline.com
• dsc.zoremov.com
• eli.comoneet.com
• ella.solognei.com
• explr.brngmypdf.com
• find.searchmyhub.com
• find.searchtoolshub.com
• ful.hartonly.com
• fuo.brgtitnow.com
• gato.liveligoto.com
• get.seekentral.com
• go.bonefreeze.com
• go.deepteep.com
• go.knightsearcher.com
• go.mennythanks.com
• go.normandoh.com
• go.paradiskus.com
• go.trawanan.com
• goci.iminogco.com
• goto.easysearchonline.com
• goto.genisrch.com
• goto.searchpoweronline.com
• goto.searchproonline.com
• goto.searchwithtabatoo.com
• grt.imsrcgo.com
• grt.thisbrng.com
• hpy.diamondcry.com
• hub.scoutitech.com
• ishi.dorbani.com
• juv.scoutjcf.com
• lack.gotosrch.com
• laki.kolkolif.com
• lock.checkitley.com
• loli.gradilsk.com
• lookup.findmyscreen.com
• lookup.justsrch.com
• lookup.searchconapp.com
• lookup.searchexfree.com
• lookup.searchitfalc.com
• lookup.searchitnext.com
• lookup.searchitral.com
• lookup.searchitziptech.com
• lookup.searchlig.com
• lookup.searchmyppro.com
• lookup.searchshar.com
• lookup.searchzr.com
• lookup.seekittral.com
• lookup.seekitzip.com
• misho.sodirant.com
• nex.justitsrch.com
• nor.convertitmas.com
• nsp.gifsearchutils.com
• nsp.screensearchutils.com
• nsp.searchziputils.com
• opit.othersar.com
• pack.brisrch.com
• per.loringoit.com
• pont.romiron.com
• retrorevivesearch.com
• riki.rikodis.com
• row.pltcli.com
• run.fastsrch.com
• seek.xplrthis.com
• shok.lostient.com
• stat.download.xunlei.com
• tlh.srchconv.com
• www.searchletter.com
• zsrc.searchmagiconline.com