En utilisant un service de parking de domaine, les propriétaires de domaine peuvent facilement monétiser le trafic de leurs sites via des publicités tierces, mais les domaines parqués peuvent également constituer une menace importante pour les utilisateurs car ils peuvent les rediriger vers des pages de destination malveillantes ou indésirables.
Les particuliers et les entreprises étant tenus de payer des frais annuels aux registraires de domaines, de nombreux services de stationnement tirent parti des services de stationnement pour monétiser le trafic des utilisateurs lorsqu’ils n’ont pas de contenu ou de service prêt à pointer leurs domaines. La configuration d’un service de parking de domaine est simple car un propriétaire de domaine n’a qu’à pointer ses enregistrements de serveur de noms vers le service de parking.
Les services de parking de domaine présentent alors aux visiteurs du site une liste de publicités ou redirigent automatiquement les utilisateurs vers les pages Web des annonceurs. Dans le premier cas, les propriétaires de domaine et les services de stationnement sont payés lorsqu’un utilisateur clique sur une annonce, tandis que dans le second cas, ils sont payés par visite d’utilisateur.
Palo Alto Networks détecte les domaines parqués depuis plus de neuf ans et entre mars et septembre de cette année, la société de cybersécurité a identifié 5 millions de domaines nouvellement garés. Cependant, au cours de cette même période, il a observé que 6 millions de domaines parqués sont passés à d’autres catégories.
Dans un nouveau rapport, Palo Alto Networks a mis en lumière un cas d’abus d’enregistrement de domaine utilisé pour propager le malware Emotet et deux cas d’abus de publicité, dont l’un utilisait des empreintes digitales pour suivre les utilisateurs en ligne tandis que l’autre se faisait passer pour le fabricant d’antivirus McAfee.
Sommaire
Enregistrement de domaine et abus de publicité
Palo Alto Networks a observé le domaine valleymedicalandurgicalclinic[.]com est utilisé dans le cadre d’une campagne mondiale Emotet. Emotet est l’une des familles de logiciels malveillants les plus populaires, principalement distribuée par e-mail. Cependant, dans ce cas, la campagne a utilisé plusieurs domaines à travers le monde pour lancer des attaques contre des organisations dans divers secteurs, notamment l’éducation, le gouvernement, l’énergie, la fabrication, la construction et les télécommunications.
Les cybercriminels ont également utilisé des domaines parqués pour commettre des abus publicitaires, comme ce fut le cas avec les domaines peoplevote[.]uk et xifinity[.]com. Lorsque les utilisateurs ont visité les gensvote[.]uk, la plupart du temps, une page d’annonce leur a été présentée. Cependant, certains utilisateurs étaient parfois redirigés vers le site 0redira[.]com / jr.php qui héberge un script de kit d’exploitation. Ce kit d’exploitation a été utilisé pour les navigateurs des utilisateurs d’empreintes digitales pour suivre silencieusement leur activité Web et masquer les URL de destination.
Quand il s’agissait de xifinity[.]com, les attaquants ont utilisé un domaine de typosquattage imitant le service Internet Xfinity de Comcast pour abuser du programme d’affiliation de McAfee afin de voler des revenus publicitaires. Les utilisateurs qui ont mal orthographié le site Web de Xfinity dans leur barre d’adresse ont été redirigés vers des pages de destination abusives. L’une de ces pages a tenté de faire croire aux utilisateurs que leur machine était infectée et que leur abonnement McAfee avait expiré. Si un utilisateur cliquait sur le bouton «Continuer» du site, il était redirigé vers une page de téléchargement McAfee légitime proposant un abonnement antivirus.
Si les domaines parqués peuvent être rentables pour les propriétaires de domaine, ils peuvent exposer les utilisateurs à des menaces car ils ont la possibilité de rediriger les visiteurs vers des pages de destination malveillantes ou indésirables.
