Изъятые домены Megaupload отправляют посетителей на ресурсы с вредоносным ПО

image

Теги: Megaupload, злоумышленники, домен, эксплуатация

Подконтрольные правительству США домены активно эксплуатируются злоумышленниками.

Как сообщило издание The Torrent Freak, несколько арестованных доменных имен Megaupload, в том числе Megaupload.com и Megavideo.com начали перенаправлять пользователей на ресурсы с мошеннической рекламой и вредоносным ПО.

С момента закрытия файлообменника Megaupload прошло уже три года, однако уголовное дело в отношении его владельца продвигается довольно медленными темпами. Американские власти надеются, что Новая Зеландия экстрадирует Кима Доткома и его коллег в США, но слушания по делу уже откладывались несколько раз.

Тем временем, несколько доменных имен, включая популярные Megaupload.com и Megavideo.com по-прежнему остаются под контролем правительства США. По крайней мере, теоретически. Как оказалось, в реальности все обстоит несколько иначе – сейчас их эксплуатируют злоумышленники.

Вместо отображения уведомления о том, что доменные имена были арестованы в рамках уголовного расследования, они перенаправляют посетителей на рекламную ленту Zero-Click, ссылки на которой в большинстве случаев ведут на вредоносные инсталлеры или рекламные объявления. В одном из них ссылка отправляла пользователей на фальшивую статью BBC, предлагающую жертвам приобрести iPhone 6 всего за £1.

На первый взгляд записи сервиса Whois не содержат ничего экстраординарного – регистратором доменного имени по-прежнему является Megaupload Limited. Однако сервер доменных имен PLEASEDROPTHISHOST15525.CIRFU.BIZ все же вызывает ряд вопросов. Отметим, что CIRFU – специализированная команда ФБР, которая занимается киберпреступлениями. Подразделение использовало доменное имя CIRFU.net в качестве сервера для различных изъятых доменов, в том числе принадлежащих Megaupload.

Любопытно, что в настоящее время регистратором доменного имени CIRFU.net является Syndk8 Media Limited, которая не имеет никакого отношения к ФБР. CIRFU.biz также не является официальным доменом и указывает на сервер в Нидерландах, принадлежащий компании LeaseWeb.

Судя по всему, домен, который Министерство юстиции США использовало в качестве сервера доменных имен, больше не находится под контролем ведомства. В результате, Megaupload и Megavideo теперь распространяют вредоносную рекламу, ставя под угрозу десятки тысяч пользователей, посещающих Megaupload.com.  

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.