Владельцы доменов нередко паркуют их и пользуются услугами специальных провайдеров, чтобы монетизировать домены через рекламные сети, пока те не используются по прямому назначению.
Специалисты Palo Alto Networks рассказывают, что с марта по сентябрь 2020 года ими было обнаружено около 5 000 000 новых припаркованных доменов, и примерно 1% из них используется хакерами для распространения малвари и в рамках фишинговых компаний; около 2,6% теперь связаны с контентом для взрослых или азартными играми; а еще 30,6% относятся к подозрительным.
«Зачастую сервисы для парковки и рекламные сети не имеют средств или желания отфильтровывать злоумышленников, — пишут аналитики Palo Alto Networks. — Поэтому пользователи подвергаются различным угрозам, включая распространение малвари, потенциально нежелательного ПО, а также мошенничество с фишинг».
Такие атаки нацелены на жертв из самых разных стран мира, включая США, Великобританию, Францию, Японию, Корею и Италию.
Используют припаркованные домены и операторы ботнета Emotet. Их кампания нацелена множество разных отраслей, начиная от правительства и образования, и заканчивая энергетикой, производством, строительством и телекоммуникациями.
К примеру, один из доменов, использовавшихся в атаках, valleymedicalandsurgicalclinic[.]com, был зарегистрирован 8 июля 2020 года и сразу же был припаркован. Начиная с 14 сентября, всего через два месяца после регистрации, этот домен стал вредоносным и начал распространять различную малварь. В числе прочего, он использовался для распространения полезных нагрузок Emotet через фишинговые письма, что в итоге приводило к краже учетных записей и полному захвату контроля над зараженными устройствами.
«Документы, приложенные к фишинговым письмам, содержат скрипты-макросы, которые связываются с управляющими серверами с машин жертв. Emotet загружает на пострадавшие устройства троянские программы, которые воруют учетные данные жертв и полностью компрометируют систему», — пишут эксперты.