Использующий кликфрод вредонос заразил около 1 млн компьютеров по всему миру

Использующий кликфрод вредонос заразил около 1 млн компьютеров по всему миру

Вредонос заменяет результаты поиска в браузере на выбранные преступниками из их поисковой системы.

За последние несколько лет сотни тысяч компьютеров оказались инфицированы вредоносом, подменяющим результаты поиска в браузере. Ботнет перехватывает поисковые запросы в Google, Bing и Yahoo! с компьютеров пользователей и заменяет легитимные результаты поиска на поддельные из созданной преступниками поисковой системы. Как сообщают исследователи из компании Bitdefender, злоумышленники совершают подмену с помощью вредоносной программы Redirector.Paco. С сентября 2014 года вредонос инфицировал более 900 тыс. компьютеров по всему миру, преимущественно в Индии, Малайзии, Греции, США, Италии, Пакистане, Бразилии и Алжире.

Вредонос включен в модифицированный пакет установки таких хорошо известных программ, как WinRAR, Connectify, YouTube Downloader, Stardock Start8 и KMSPico. После установки на компьютер жертвы, вредонос изменяет интернет-настройки и использует прокси-сервер, указанный злоумышленниками в файле PAC (Proxy auto-config). Redirector.Paco устанавливает на инфицированном компьютере корневой сертификат, сгенерированный вредоносом. Затем вредоносное ПО генерирует поддельные сертификаты для Google, Yahoo! и Bing, которые принимает браузер жертвы. Redirector.Paco устанавливает уникальный корневой сертификат на каждый зараженный компьютер. Вредоносное ПО позволяет осуществить атаку "человек посередине". Прокси-сервер подключается к легитимной поисковой системе, заменяет результаты поиска на поддельные из созданной преступниками поисковой системы, повторно шифрует страницу с помощью сертификата SSL для соответствующего доменного имени и после отображает ее в браузере пользователя.

Существует две разновидности вредоноса. Первая версия использует удаленный сервер для размещения PAC-файла и прокси. Процесс подмены результатов поиска занимает некоторое время. Пользователь может наблюдать сообщения на панели состояния браузера наподобие «ожидание прокси туннеля» («waiting for proxy tunnel») или «загрузка скрипта прокси» («downloading proxy script»).

У второй разновидности PAC-файл и прокси хранятся на локальном компьютере. Эта версия создана с помощью платформы .Net, и влияние вредоноса на скорость работы браузера не так заметно. Функциональность перехвата HTTPS обеспечивается библиотекой .Net, называемой FiddlerCore.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!