La société de sécurité Sucuri, distribuée dans le monde entier, a publié un bref rapport sur les « escroqueries au renouvellement de domaines » qui utilisaient de vraies lettres en papier pour inciter les propriétaires de sites à transférer leurs domaines et à les renouveler pour un prix 3 à 4 fois supérieur au prix normal.
Plus de 200 000 domaines expirés répandant des publicités malveillantes
Le cybersquatting est une activité très rentable. Les domaines en retard sont achetés par les pirates dans le but de les revendre, de les référencer en noir ou de diffuser des contenus malveillants. La société Sucuri a publié sur son blog un article sur la façon dont les criminels gagnent des millions de dollars grâce aux domaines en retard.
L’enquête des experts a commencé par le contact du client avec le support technique. Le client s’est plaint que les publicités affichaient « XWINNER COM » sur son site web et a demandé à examiner l’incident et à débarrasser le site des logiciels malveillants.
Une analyse du trafic HTTP a révélé que le site client charge des images provenant du site « www.twomediaxthemes.com ». L’impression était que les pirates avaient réussi à introduire une référence à l’image dans les modèles de site web :-
Cependant, ces injections ne sont pas inhérentes au site de cambriolage, mais l’analyse la plus détaillée a montré que les liens ont été ajoutés à l’image du modèle par un développeur. Cela a été renforcé par des commentaires dans le code et la description du modèle de site. Cependant, le développeur du modèle de domaine n’en faisait pas partie.
Lorsque les cybercriminels stationnent le site sur le site d’hébergement et diffusent ensuite des publicités malveillantes et lorsque l’un d’entre eux demande ou surfe sur le site, le serveur renvoie en retour une réponse HTTP 200 et affiche des publicités malveillantes.
La société de sécurité Sucuri a découvert que le nouveau propriétaire du domaine est actuellement enregistré par la China Capital Investment Limited. Selon l’analyse et DomainTools, c’est cette société qui possède 107 288 domaines et le site était situé sur un serveur avec l’adresse IP 104.130.124.96. Selon le même DomainTools, le serveur dessert 196 879 sites.
Le coût moyen d’un nom de domaine est de 10 $ par an. China Capital Investment Limited a donc payé plus d’un million de dollars pour ses 100 000 domaines et le serveur 104.130.124.96 coûte environ 2 millions de dollars par an. Il est donc clair comme de l’eau de roche que personne ne paie des millions de dollars juste pour parquer des domaines s’il n’attend aucun retour sur investissement.
En supposant que la campagne rapporte le jour 0,15 $ d’un site, le bénéfice total pour l’année d’un site est donc de 54,75 $. Ainsi, sur les 200 000 sites et plus, le…
