Os pesquisadores da Kaspersky descobriram mais de mil domínios inativos que, quando visitados, redirecionam os visitantes para outros endereços como forma de obter lucro. Porém, muitas dessas páginas de destino foram detectadas como maliciosas. Os domínios comprometidos estão à venda em um dos maiores e mais antigos sites de leilão de domínio do mundo, segundo a Kaspersky.  A empresa explicou que os fraudadores substituíram o endereço de destino por um link malicioso, criando um esquema para infectar usuários ou gerar lucros à custa dos usuários. Ao investigar um assistente de um jogo popular, os pesquisados da Kaspersky detectaram a tentativa de transferência para um endereço indesejado, e foi assim que a empresa descobriu que a URL estava listada para venda em um dos maiores e mais antigos sites de leilão do mundo. No entanto, em vez de redirecionar para o site de leilão correto, levava para uma página suspeita ou maliciosa (denylist). Uma análise posterior mostrou que havia cerca de 1.000 sites à venda na plataforma de leilão e eles direcionavam os usuários para mais de 2.500 endereços indesejados. Muitos deles baixam o trojan Shlayer, uma ameaça para o sistema Mac que instala adware nos dispositivos infectados. Entre o período de março de 2019 e fevereiro de 2020, segundo a Kaspersky, 89% dos redirecionamentos enviavam o internauta para páginas de anúncios, enquanto 11% deles eram maliciosos. Entre as técnicas de infecção mais comuns, estavam o download direto de malware, documentos do MS Office ou PDF comprometidos ou as próprias páginas continham códigos mal-intencionados. De acordo com especialistas, o método com diversas camadas por trás desse esquema perspicaz deve ter natureza financeira: os fraudadores recebem receita para direcionar o tráfego para as páginas, tanto aquelas que mostram publicidade legítima, quanto aquelas maliciosas. Isso é conhecido como malvertising. Uma das páginas maliciosas descobertas, por exemplo, recebeu uma média de 600 redirecionamentos em apenas dez dias - muito provavelmente, os criminosos recebem um pagamento com base no número de visitas. No caso do trojan Shlayer, quem distribui o malware recebe um pagamento por cada instalação em um dispositivo. É provável que a atividade maliciosa seja resultado de uma falha no mecanismo de impressão de anúncios usado para direcionar o tráfego dos usuários.