Компания Palo Alto отмечает рост доменной инфраструктуры для обманных поисковых сайтов, имитирующих страницу «Новая вкладка» Google Chrome.
Описание
- Эти домены связаны с захватом браузера (Browser Hijacking).
- Под захватом браузера обычно понимаются нежелательные изменения в веб-браузере с помощью настроек, расширений, плагинов или вредоносного ПО.
- Этот вид деятельности может привести к вредоносным перенаправлениям во время обычного просмотра веб-страниц, а также к краже конфиденциальных данных.
- Несмотря на внешний вид, эти страницы стараются избегать явного брендинга Google или Chrome.
- Связанная с ними деятельность по захвату браузера может представлять следующие риски:
- отслеживание привычек и поисковых запросов пользователя
- перенаправление браузера пользователя на вредоносный контент
- развертывание потенциально нежелательных программ (PUP).
- Всплеск регистраций доменов для предыдущего поколения страниц поискового захвата произошел в третьем квартале 2022 года.
- Предыдущее поколение страниц поискового захвата было очень простым, без изображений.
- Нынешнее поколение страниц поискового захвата имитирует страницу «Новая вкладка» для браузера Chrome.
- Всплеск регистраций доменов для текущего поколения страниц поискового захвата произошел в IV квартале 2024 года.
- С тех пор Palo Alto отслеживают это новое поколение и видим:
- 80 тыс.+ посещений этих доменов из клиентских сред
- 100 тыс.+ пассивных разрешений DNS
- Эти домены имеют префиксы (поддомены) drop. или cast.
- Связанные с ними URL-адреса имеют одинаковый шаблон /query/p/to.
- Связанные с ними серверы собирают поисковые строки и информацию о платформе перед перенаправлением в поисковые системы Bing, Yahoo и Google.
Индикаторы компрометации
Domains
- ab.cococococ.com
- bring.buddychck.com
- brng.seekmanager.com
- cast.avilornik.com
- cast.explrskills.com
- cast.imgothis.com
- cast.larianiot.com
- cast.martelok.com
- cast.sarchcrystal.com
- cast.skillsfnder.com
- cast.sklitright.com
- cast.srchiced.com
- coastalvibesapp.com
- der.gotojcf.com
- drop.bringcntrl.com
- drop.bringithis.com
- dsc.searcharchiver.com
- dsc.searchfpapp.com
- dsc.sharksearchonline.com
- dsc.zoremov.com
- eli.comoneet.com
- ella.solognei.com
- explr.brngmypdf.com
- find.searchmyhub.com
- find.searchtoolshub.com
- ful.hartonly.com
- fuo.brgtitnow.com
- gato.liveligoto.com
- get.seekentral.com
- go.bonefreeze.com
- go.deepteep.com
- go.knightsearcher.com
- go.mennythanks.com
- go.normandoh.com
- go.paradiskus.com
- go.trawanan.com
- goci.iminogco.com
- goto.easysearchonline.com
- goto.genisrch.com
- goto.searchpoweronline.com
- goto.searchproonline.com
- goto.searchwithtabatoo.com
- grt.imsrcgo.com
- grt.thisbrng.com
- hpy.diamondcry.com
- hub.scoutitech.com
- ishi.dorbani.com
- juv.scoutjcf.com
- lack.gotosrch.com
- laki.kolkolif.com
- lock.checkitley.com
- loli.gradilsk.com
- lookup.findmyscreen.com
- lookup.justsrch.com
- lookup.searchconapp.com
- lookup.searchexfree.com
- lookup.searchitfalc.com
- lookup.searchitnext.com
- lookup.searchitral.com
- lookup.searchitziptech.com
- lookup.searchlig.com
- lookup.searchmyppro.com
- lookup.searchshar.com
- lookup.searchzr.com
- lookup.seekittral.com
- lookup.seekitzip.com
- misho.sodirant.com
- nex.justitsrch.com
- nor.convertitmas.com
- nsp.gifsearchutils.com
- nsp.screensearchutils.com
- nsp.searchziputils.com
- opit.othersar.com
- pack.brisrch.com
- per.loringoit.com
- pont.romiron.com
- retrorevivesearch.com
- riki.rikodis.com
- row.pltcli.com
- run.fastsrch.com
- seek.xplrthis.com
- shok.lostient.com
- stat.download.xunlei.com
- tlh.srchconv.com
- www.searchletter.com
- zsrc.searchmagiconline.com