¿Malware o virus mediante redirecciones en el navegador?

Question

¿Malware o virus mediante redirecciones en el navegador?

#1 de Steffen Ullrich (2 votos)
#2 de A. Darwin (1 votos)

0

Hace poco, se navegó y se hizo clic en un enlace a la siguiente dirección:

(En los bloques de código para que no puedas hacer clic accidentalmente)

http://paycheck-calculator.org/

Al hacer clic en este, se cargaron rápidamente 2 o 3 sitios diferentes antes de cerrar la pestaña. Mirando a través de la historia, hay algunas URL extrañas a las que se redirige:

https://pc1.dntrax.com/tr?id=e9df99c1378f40ec7d84901dba2d021096c5e011.r&tk=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJwdWIiOiI1MDVjNmI4MTcxMzIwNDAyNTc1YjFkNmUiLCJ0cyI6IjA0MDcxNTE2IiwiZCI6InBheWNoZWNrLWNhbGN1bGF0b3Iub3JnIn0._2CC_feJ3B4SpjbaOzX7wv5XvMhpW5eoAU8zVikW21s

y

http://defender.error.com-dxnxcsuhcz.in.net/1/index.html?a=JCD&os=Windows&browser=Chrome&isp=Comcast%20Ip%20Services%20l.l.c.&ip=MY IP HERE&r_src=56cfd578fa7ddb7749c3f499&r_src2=&r_src3=&r_src4=&r_src5=&vcid=1b24ec59-8032-43d0-91e1-3e17a4c5bd56&r_os=&r_browser=&dfn=(877)%20429-9679&dn=%2B18774299679&clickid=d50HCFQ8A1S23FURGFRNQK7K

así como otros como:

http://www.las-vegas-attractions.com/top-10-hotels-in-las-vegas

Mi pregunta es, estas redirecciones parecen intencionadamente maliciosas. Sin hacer clic en el contenido de las URL que se cargaron, ¿podría el malware / virus u otro código malicioso infectar mi computadora o sesión del navegador?

Ambiente: Gana 7 64 bits Navegador Chrome

A menudo soy muy cauteloso con lo que hago clic debido a redirecciones como esta, así que me gustaría saber si mi cautela tiene algún fundamento lógico.

web-browser malware url-redirection virus chrome

pregunta Orbit 07.04.2016 - 17:48

fuente

2 respuestas

Lea otras preguntas en las etiquetas web-browser malware url-redirection virus chrome

Malware capaz de "leer" la pantalla de uno ¿Por qué certificado HTTPS se verifica el contenido si el contenido proviene de varios servidores?

score 2 · Answer 1

Existencia si tales redirecciones por sí mismas no significan malware en todos los casos, pero puede ser.

Muy a menudo encontrará este tipo de redirecciones cuando los anuncios se publican, ya que la publicación de anuncios suele ser un proceso de varios pasos con varias partes involucradas. Esto es especialmente cierto con los anuncios dirigidos y las redes de ofertas de anuncios en tiempo real. En dichas cadenas de distribución, cada una de las partes necesita obtener información sobre la parte que se refiere y sobre el usuario original para decidir qué anuncio debe servir o qué parte de la cadena debe asumir el control. Debido a que el control de una parte a otra se maneja a través de redirecciones, esta información se codificará en la URL y es por eso que verá esta URL larga con información codificada.

El mismo tipo de cadenas de distribución se usa con malware porque aquí también tiene las partes que proporcionan a las víctimas a través de anuncios o sitios pirateados. Y tiene las partes que sirven la última versión bien probada del exploit, a veces como servicio pagado (vea también malware como servicio ). No siempre queda claro al mirar la cadena si se trata de una entrega de anuncios pura, una entrega de malware pura o una entrega de malware activada por anuncios (es decir, publicidad maliciosa).

Si bien estos son los propósitos principales de dichas cadenas de redireccionamiento, también encontrará (generalmente cadenas más cortas) para casos de uso más agradables o para el seguimiento de usuarios.

score 1 · Answer 2

En primer lugar, como sugiere @Steffen Ullrich, una redirección no es automáticamente maliciosa , incluso si es definitivamente posible. En particular, analicé las URL que citó con VirusTotal y no parecen ser maliciosas.

No está claro por qué la segunda URL incluye parámetros relacionados con su dirección IP, ISP, versión del navegador, etc., pero tenga en cuenta que estos datos (1) se almacenan en los registros del servidor web cuando visita cualquier tipo de sitio web, por lo que no son exactamente privados .

Sin embargo, supongamos que en realidad fueron redirecciones maliciosas. A todos los efectos, una URL es una URL, independientemente de si hizo clic en ella o si fue redirigida por otro sitio web. Lo que quiero decir es que el contenido es exactamente el mismo en cualquier caso y, como resultado, cualquier efecto (malicioso o no) se producirá en cualquier caso.

Lamentablemente, el hecho de que inmediatamente cerró las pestañas no significa que su computadora no pueda estar infectada.

Imagina que cerraste las pestañas después de 1 segundo de las redirecciones. Si el contenido malicioso (por ejemplo, Javascript) en la URL se cargó en 1 segundo, su computadora se infectaría. Esto es absolutamente posible , incluso si toda la página no se cargó en 1 segundo. De hecho, hay varias preguntas sobre StackOverflow que preguntan:

¿Cómo puedo ejecutar el código Javascript antes de que se cargue toda la página?

Como ejemplo, vea enlace . Si los desarrolladores web habituales son conscientes de este hecho, los autores de malware lo saben definitivamente y probablemente exploten esta función para infectar computadoras, incluso si el usuario cierra la pestaña lo antes posible.

Incluso hay técnicas particulares para optimizar la velocidad de carga del sitio web. No estoy seguro de si son explotados con fines maliciosos, pero existen y, por lo tanto, pueden ser explotados.

(1) Es cierto que los registros web generalmente no almacenan el ISP, pero si no se esconde detrás de un proxy, su dirección IP dinámica pertenece a un rango asignado a su ISP, por lo que incluso esta información no es privado.