Хотели праздников, а получили вирусы. Сотни брошенных доменов атакуют 4 млн устройств Apple

Цифровые календари давно стали удобным способом не потеряться в ежедневных делах, однако новая исследовательская работа Bitsight показывает: привычный инструмент может превратиться в полноценный канал атаки. Специалисты Bitsight обнаружили более 390 заброшенных доменов, связанных с iCalendar-синхронизацией, с которых ежедневно поступали запросы примерно от 4 млн устройств на iOS и macOS. Любой, кто перерегистрирует такие домены, получает возможность незаметно добавлять события в календари пользователей — с ссылками, файлами и любым другим контентом.

Проблема в том, что подписки на сторонние календари обычно оформляются в один клик — ради праздничных дат, расписания мероприятий, скидок или напоминаний от приложений. Но вместе с удобством приходит риск: злоумышленники могут создать инфраструктуру, которая обманом заставит пользователя подписаться на их «обновления». И с этого момента устройство само, без участия владельца, начнёт регулярно обращаться к домену, получая новые .ics-файлы. Если домен перерегистрирован киберпреступниками, в календаре начинают появляться навязчивые напоминания, фишинговые ссылки, поддельные уведомления об антивирусах или VPN — всё, что может заставить жертву кликнуть.

Специалисты обнаружили сотни таких доменов, многие из которых контактировали с миллионами уникальных IP-адресов. Запросы явно исходили не от новых подписок, а от давних, забытых пользователями календарей — например, с праздниками разных стран. Достаточно лишь перехватить домен, чтобы мгновенно получить «канал доставки» на огромное количество устройств.

Параллельно Bitsight выявили целую инфраструктуру, направленную на массовое распространение вредоносных подписок: взломанные сайты незаметно подгружали обфусцированные скрипты, которые перенаправляли посетителей на поддельные CAPTCHA-страницы. Там жертв убеждали нажать «Разрешить» — якобы для прохождения проверки, а на деле это активировало подписку сразу на push-уведомления или календарные события. Такие цепочки редиректов часто использовали домены с .biz и .bid и были связаны с известной вредоносной кампанией Balada Injector.

Эта схема была не единственной. Исследователи нашли APK-файлы и PDF-документы, ведущие к тем же цепочкам. Android-приложения маскировались под игры, скрывались после запуска и открывали нужные URL через WebView. PDF-файлы содержали tinyurl-ссылки, ведущие на те же поддельные страницы. Вся инфраструктура была хорошо организована: десятки хостингов, сотни доменов, тысячи APK, единые сертификаты и взаимосвязанная сетка редиректов.

Монетизация тоже оказалась вполне конкретной. Существуют рекламные платформы, которые уже продают «место» в календаре — можно купить показ своего события на устройстве пользователя, продвигать VPN, игры или сервисы. Такие объявления выглядят как обычные напоминания, а целевая аудитория — владельцы iOS-устройств — считается «платёжеспособной». Злоумышленники активно используют методы фишинга для распространения таких схем.

Несмотря на масштаб проблемы, защиты почти нет. MDM-решения не могут запретить пользователям добавлять свои подписки или даже просмотреть список уже существующих. Проверки, фильтры, антивирусная аналитика — всё это развито для e-mail, но почти отсутствует для календарей, которые воспринимаются как заведомо безопасный инструмент.

Bitsight рекомендует пользователям и компаниям регулярно пересматривать активные подписки, относиться к ссылкам и вложениям в событиях так же осторожно, как к письмам, вводить политику использования сторонних календарей и, по возможности, блокировать подозрительные подписки на уровне сети. Но главная мера — повышение осведомлённости: календарь — это не просто удобная утилита, а ещё один потенциальный вектор атаки, который сегодня активно используется злоумышленниками. Знание методов социальной инженерии поможет противостоять таким угрозам.