Эксперты из Click Forensics обнаружили и всесторонне изучили ботнет, помогающий своим владельцам зарабатывать деньги за счёт файльшивых рекламных кликов. Специалисты считают, что этот ботнет напрямую связан с недавней серией атак с рекламой лже-антивирусов, которая, в частности, задела пользователей сайта The New York Times (NYT). Считается, что клик-ботнет контролируется некими гарными украинскими хлопцами.
Хакеры устанавливают spyware-программу на компьютеры пользователей через рекламу на легитимных сайтах. В случае с NYT они честно разместили вполне порядочную рекламу на сайте издания, представившись VoIP-провайдером Vonage, однако на прошлых выходных сменили её на агрессивный pop-up. Выскакивающие окна запугивали пользователей сообщениями о том, что их компьютер заражен, и предлагали закачать "антивирусную" программу. С лже-антивирусом на компьютеры пользователей попадал вредоносный код, делавший их частью ботнета. Зараженные машины накручивают клики двумя различными способами. Первый из них состоит в том, что троянец умеет перехватывать реальные поисковые запросы пользователей. Реальный клик мышкой по ссылке из результатов поиска прогоняется через серию рекламных сервисов, при этом в качестве рекламных партнёров используется большая база паркованных доменов. Этот подход позволяет генерировать "естественные" клики по рекламе. При этом злоумышленники формируют базу пользовательских поисковых запросов, которая используется ими для накрутки кликов без участия человека. Учитывая, что фальшивые клики производятся с помощью большого количества зомби-компьютеров, обнаружить подделку также довольно непросто.
"Это одна из наиболее сложных схем, какие мы когда-либо видели, — говорит глава Click Forensics Пол Пелман (Paul Pellman). — Ботнет эффективно маскирует свои мошеннические действия под "хороший трафик", изменяя интервал и широту атак при помощи легиона зараженных машин".
Несмотря на связь с Украиной, в Click Forensics назвали этот ботнет "Багамским". Причина довольно прозаична: изначально большинство паркованных доменов, участвовавших в накрутке кликов, вели на компьютеры, расположенные на Багамах.
Подробнее