В 2010 році я писав про розповсюдження шкідливого ПЗ через TinyURL. А зараз розповім про розповсюдження шкідливого ПЗ через п’ять сервісів редирекції. Що є найбільш популярними сервісами скорочення URL.
Це наступні сервіси: tinyurl.com, bit.ly, fb.me, t.co і goo.gl. TinyURL і Bitly - це відомі редиректори, fb.me - редиректор від Facebook, t.co - редиректор від Twitter, goo.gl - редиректор від Google (що використовується в Google+ та інших їхніх сервісах).
Про можливість розповсюдження шкідливого ПЗ через редиректори я писав в 2009 році в свої статтях Редиректори: прихована загроза та Атаки через закриті редиректори. Власник сервісів редирекції я попереджав про уразливості та про можливість зловживання їхніми сервісами. Атаки на користувачів можуть відбуватися як через редирекцію на зловмисні сайти, так і через поширення шкідливого коду безпосередньо через уразливості на сервісах редирекції. Але на всі мої попередження власники даних сервісів не звертали уваги.
Ще на початку 2010 року я виявив, що tinyurl.com почав активно використовуватися для поширення malware. А пізніше виявив подібну ситуацію і з іншими сервісами редирекції. За цей час я слідкував за їх інфікованістю, бо ці сервіси постійно використовували для розповсюдження malware. Про що вирішив написати окрему статтю.
Гугл виявив наступне шкідливе ПЗ:
1. На tinyurl.com перевірено 62578 редиректорів, з яких на 368 було виявлене шкідливе ПЗ. Серед якого: 370 троянів, 235 експлоітів і 171 скриптових експлоітів.
Частина сайта була внесена до переліку сайтів із підозрілою активністю 93 рази протягом останніх 90 днів і за цей час tinyurl.com був посередником зараження 40 сайтів.
2. На bit.ly перевірено 91921 редиректорів, з яких на 677 було виявлене шкідливе ПЗ. Серед якого: 206 троянів, 185 експлоітів і 154 скриптових експлоітів.
Частина сайта була внесена до переліку сайтів із підозрілою активністю 31 раз протягом останніх 90 днів і за цей час bit.ly був посередником зараження 36 сайтів.
3. На fb.me перевірено 62456 редиректорів, з яких на 536 було виявлене шкідливе ПЗ. Серед якого: 204 троянів, 172 експлоітів і 210 скриптових експлоітів.
За останні 90 днів fb.me був посередником зараження 5 сайтів.
4. На t.co перевірено 273031 редиректорів, з яких на 135 було виявлене шкідливе ПЗ. Серед якого: 141 троянів, 50 експлоітів і 3086 скриптових експлоітів.
Частина сайта була внесена до переліку сайтів із підозрілою активністю 8 разів протягом останніх 90 днів і за цей час t.co був посередником зараження 8 сайтів.
5. На goo.gl перевірено 5295228 редиректорів, з яких на 550 було виявлене шкідливе ПЗ. Серед якого: 6226 троянів, 737 експлоітів і 109 скриптових експлоітів.
За останні 90 днів goo.gl був посередником зараження 959 сайтів.
