Специалисты Click Forensics нашли и изучили ботнет, который помогает своим владельцам получать прибыль за счет поддельных рекламных кликов. Эксперты компании уверены, что этот ботнет имеет непосредственное отношение к недавней серии хакерских атак с рекламой фальшивых антивирусов. В частности, подобная атака была проведена на сайт газеты The New York Times. Специалисты считают, что контролируют этот клик-ботнет украинские киберпреступники.
Как сообщает сайт Webplanet.ru, следы деятельности данного ботнета и раньше фиксировались экспертами, но в Click Forensics отмечают, что полная картина сформировалась только сейчас и выглядит она следующим образом.
На ПК пользователей проталкивается троянская программа. Чаще всего она распространяется через рекламу на легитимных сайтах. Так, в случае с ресурсом The New York Times хакеры разместили рекламу от лица VoIP-провайдера Vonage, но позже они перешли на схему агрессивных popup. Выскакивающие окна сообщали пользователям, что их ПК заражен и предлагали скачать «антивирус». Скачав подобный софт, юзеры открывали дорогу вредоносному коду, который превращал их компьютеры в часть ботнета.
Инфицированные ПК накручивают клики разными способами, один из которых заключается в том, что троянская программа перехватывает поисковые запросы пользователей. Реальный клик по ссылке из поискового результата прогоняется через череду рекламных сервисов, а в качестве рекламных партнеров выступает огромная база паркованных доменов.
Данный подход делает возможным генерацию «естественных» кликов по рекламным сообщениям. При этом хакеры формируют целую базу поисковых запросов пользователей, которая применяется для накрутки кликов, минуя участие человека.
Из-за того, что поддельные клики реализуются с помощью массы зомби-компьютеров, определить фальшивку представляется довольно сложным. Но эксперты Click Forensics все-таки смогли это сделать через созданный ими «алгоритм обнаружения аномалий», а также благодаря тесному сотрудничеству с рекламщиками.
«По сути, это одна из самых сложных схем, с которой нам приходилось сталкиваться, – рассказывает глава Click Forensics Пол Пелман. – Ботнет очень эффективно скрывает свои нелегитимные действия под «хороший трафик», меняя широту и интервал атак с помощью армии зараженных машин».
Связь между украинскими хакерами и атакой на сайт The New York Times отметил эксперт Данчо Данчев, который достаточно давно ведет мониторинг деятельности данных киберпреступников. Любопытно заметить, что хакеры, очевидно, знают об этом интересе и в качестве ответного жеста начали применять в своих схемах названия скриптов и доменные имена с фамилией Данчева.
Несмотря на довольно явную связь с Украиной, эксперты Click Forensics склонны называть ботнет «Багамским», поскольку первоначально большинство паркованных доменов вели на ПК, расположенные на Багамах.
В Click Forensics говорят, что из 20 самых популярных антивирусов лишь один смог определить клик-трояна. К сожалению, эксперты компании не уточнили, о какой антивирусной программе идет речь, но Click Forensics уже связалась с ведущими антивирусными компаниями и проинформировала их о троянце, а также обратилась к рекламным компаниям, чтобы снабдить их эффективными рекомендациями по фильтрации фальшивых кликов.
