Symantec: Мошенники зарабатывают немалые деньги на «хищении кликов»

image

Теги: троян, YouTube, Symantec

Троян Tubrosa «накручивает» просмотры YouTube-видео, позволяя злоумышленникам зарабатывать на рекламе.

По данным экспертов из Symantec, киберпреступники незаконным образом  получают  прибыль, распространяя троян Tubrosa. Попав на компьютер, вредонос направляет его на определенные YouTube-видео, тем самым «накручивая» количество просмотров. Благодаря этому популярность ролика растет, и мошенники зарабатывают на встроенной в видео рекламе немалые деньги.

Tubrosa состоит из двух компонентов, один из которых попадает на компьютер через фишинговые письма, устанавливается незадачливым пользователем, а затем загружает и запускает второй компонент. Со своего C&C-сервера троян получает список из порядка тысячи ссылок на YouTube-видео и открывает их в фоновом режиме на инфицированном компьютере.

Для того чтобы скрыть свою активность, Tubrosa выключает звук колонок. В случае, если жертва не использует Adobe Flash, троян самостоятельно загружает и устанавливает его, тем самым обеспечивая просмотр видеороликов.

«В рамках партнерской программы YouTube для проверки того, что учетная запись пользователя находится в хорошем положении, используется процесс валидации. Для обхода проверок безопасности Google вредоносное ПО динамически изменяет реферер (REFS.txt) и User Agent (UA.txt), используя два PHP-сценария. Это позволяет вредоносу маскироваться под новое соединение с серверами Google, как будто другой пользователь просматривает то же самое видео», - сообщает Symantec.

Вредоносная кампания началась в августе 2014 года и длится до сих пор. Жертвами вредоноса в основном являются пользователи в Индии, Южной Корее и Мексике.    

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus