Malware o virus tramite reindirizzamenti del browser?

0

Recentemente stavo navigando e cliccato su un link al seguente indirizzo:

(Nei blocchi di codice quindi non puoi accidentalmente cliccarlo)

http://paycheck-calculator.org/

Cliccando su questo rapidamente caricato 2-3 siti diversi prima ho chiuso la scheda. Guardando attraverso la storia, c'è qualche strano URL che ha reindirizzato a:

https://pc1.dntrax.com/tr?id=e9df99c1378f40ec7d84901dba2d021096c5e011.r&tk=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJwdWIiOiI1MDVjNmI4MTcxMzIwNDAyNTc1YjFkNmUiLCJ0cyI6IjA0MDcxNTE2IiwiZCI6InBheWNoZWNrLWNhbGN1bGF0b3Iub3JnIn0._2CC_feJ3B4SpjbaOzX7wv5XvMhpW5eoAU8zVikW21s

e

http://defender.error.com-dxnxcsuhcz.in.net/1/index.html?a=JCD&os=Windows&browser=Chrome&isp=Comcast%20Ip%20Services%20l.l.c.&ip=MY IP HERE&r_src=56cfd578fa7ddb7749c3f499&r_src2=&r_src3=&r_src4=&r_src5=&vcid=1b24ec59-8032-43d0-91e1-3e17a4c5bd56&r_os=&r_browser=&dfn=(877)%20429-9679&dn=%2B18774299679&clickid=d50HCFQ8A1S23FURGFRNQK7K

così come altri come:

http://www.las-vegas-attractions.com/top-10-hotels-in-las-vegas

La mia domanda è, questi reindirizzamenti sembrano volutamente maliziosi. Senza fare clic su alcun contenuto negli url che sono stati caricati, malware / virus o altro codice dannoso potrebbero infettare il mio computer o la sessione del browser?

Ambiente: Vinci 7 64 bit Browser Chrome

Sono spesso molto cauto su ciò su cui clicco a causa di reindirizzamenti come questo, quindi mi piacerebbe sapere se la mia prudenza ha qualche fondamento logico.

    
posta Orbit 07.04.2016 - 17:48
fonte

2 risposte

2

Esistenza se tali reindirizzamenti di per sé non significano malware in tutti i casi, ma può esserlo.

Molto spesso troverai tali reindirizzamenti quando gli annunci vengono pubblicati perché la pubblicazione degli annunci è di solito un processo a più fasi con diverse parti coinvolte. Ciò è particolarmente vero con gli annunci mirati e le reti di offerta pubblicitaria in tempo reale. In tali catene di distribuzione, ciascuna delle parti ha bisogno di ottenere alcune informazioni sulla parte referente e sull'utente originale per decidere quale annuncio servire o quale parte successiva della catena dovrebbe assumere. Poiché il controllo da una parte alla successiva viene gestito tramite i reindirizzamenti, queste informazioni saranno codificate nell'URL ed è per questo che vedrai questo URL lungo con varie informazioni codificate.

Lo stesso tipo di catene di consegna vengono utilizzate con malware perché qui sono presenti anche le parti che forniscono le vittime tramite annunci o siti compromessi. E tu hai le parti che servono l'ultima versione ben testata dell'exploit, a volte come servizio a pagamento (vedi anche malware come servizio ). Non è sempre chiaro se si guarda alla catena se si tratta di pura consegna pubblicitaria, consegna di malware o consegna di malware innescati da annunci pubblicitari (ad esempio, malvertisement).

Sebbene questi siano gli scopi principali di tali catene di reindirizzamento, troverai anche (in genere catene più corte) per casi d'uso più piacevoli o per il tracciamento degli utenti.

    
risposta data 07.04.2016 - 18:16
fonte
1

Innanzitutto, come suggerisce @Steffen Ullrich, un reindirizzamento è non automaticamente dannoso , anche se è sicuramente possibile. In particolare, ho analizzato gli URL citati con VirusTotal e non sembrano dannosi.

Non è chiaro il motivo per cui il secondo URL include parametri relativi al tuo indirizzo IP, ISP, versione del browser, ecc., ma tieni presente che questi dati (1) sono memorizzati nei log del server web quando visiti qualsiasi tipo di sito web, quindi non sono esattamente privati .

Tuttavia, supponiamo che fossero in realtà reindirizzamenti malevoli. A tutti gli effetti, un URL è un URL, indipendentemente dal fatto che l'utente abbia fatto clic su di esso o sia stato reindirizzato da un altro sito Web. Ciò che intendo è che il contenuto è esattamente lo stesso in ogni caso e, di conseguenza, qualsiasi effetto (dannoso o meno) si verificherebbe in ogni caso.

Sfortunatamente, il fatto che tu abbia chiuso immediatamente le schede non significa che il tuo computer non possa essere infettato.

Immagina di aver chiuso le schede dopo 1 secondo dai reindirizzamenti. Se il contenuto dannoso (ad es. Javascript) nell'URL è stato caricato entro 1 secondo, il tuo computer sarebbe infetto. Questo è assolutamente possibile , anche se l'intera pagina non viene caricata entro 1 secondo. In realtà, ci sono diverse domande su StackOverflow che richiedono:

How can I run Javascript code before the whole page is loaded?

Ad esempio, vedi link . Se gli sviluppatori web regolari sono consapevoli di questo fatto, gli autori di malware sicuramente lo sanno e probabilmente sfruttano questa funzione per infettare i computer anche se l'utente chiude la scheda il prima possibile.

Esistono anche tecniche particolari per ottimizzare la velocità di caricamento del sito web. Non sono sicuro che siano sfruttati per scopi dannosi, ma esistono e quindi possono essere sfruttati.

(1) È vero che i registri web di solito non memorizzano l'ISP, ma se non ti nascondi dietro un proxy, il tuo indirizzo IP dinamico appartiene a un intervallo assegnato al tuo ISP, quindi anche questa informazione non è privato.

    
risposta data 07.04.2016 - 18:41
fonte

Leggi altre domande sui tag