Использующий кликфрод вредонос заразил около 1 млн компьютеров по всему миру

Использующий кликфрод вредонос заразил около 1 млн компьютеров по всему миру

Вредонос заменяет результаты поиска в браузере на выбранные преступниками из их поисковой системы.

image

За последние несколько лет сотни тысяч компьютеров оказались инфицированы вредоносом, подменяющим результаты поиска в браузере. Ботнет перехватывает поисковые запросы в Google, Bing и Yahoo! с компьютеров пользователей и заменяет легитимные результаты поиска на поддельные из созданной преступниками поисковой системы. Как сообщают исследователи из компании Bitdefender, злоумышленники совершают подмену с помощью вредоносной программы Redirector.Paco. С сентября 2014 года вредонос инфицировал более 900 тыс. компьютеров по всему миру, преимущественно в Индии, Малайзии, Греции, США, Италии, Пакистане, Бразилии и Алжире.

Вредонос включен в модифицированный пакет установки таких хорошо известных программ, как WinRAR, Connectify, YouTube Downloader, Stardock Start8 и KMSPico. После установки на компьютер жертвы, вредонос изменяет интернет-настройки и использует прокси-сервер, указанный злоумышленниками в файле PAC (Proxy auto-config). Redirector.Paco устанавливает на инфицированном компьютере корневой сертификат, сгенерированный вредоносом. Затем вредоносное ПО генерирует поддельные сертификаты для Google, Yahoo! и Bing, которые принимает браузер жертвы. Redirector.Paco устанавливает уникальный корневой сертификат на каждый зараженный компьютер. Вредоносное ПО позволяет осуществить атаку "человек посередине". Прокси-сервер подключается к легитимной поисковой системе, заменяет результаты поиска на поддельные из созданной преступниками поисковой системы, повторно шифрует страницу с помощью сертификата SSL для соответствующего доменного имени и после отображает ее в браузере пользователя.

Существует две разновидности вредоноса. Первая версия использует удаленный сервер для размещения PAC-файла и прокси. Процесс подмены результатов поиска занимает некоторое время. Пользователь может наблюдать сообщения на панели состояния браузера наподобие «ожидание прокси туннеля» («waiting for proxy tunnel») или «загрузка скрипта прокси» («downloading proxy script»).

У второй разновидности PAC-файл и прокси хранятся на локальном компьютере. Эта версия создана с помощью платформы .Net, и влияние вредоноса на скорость работы браузера не так заметно. Функциональность перехвата HTTPS обеспечивается библиотекой .Net, называемой FiddlerCore.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle