Использующий кликфрод вредонос заразил около 1 млн компьютеров по всему миру

Использующий кликфрод вредонос заразил около 1 млн компьютеров по всему миру

За последние несколько лет сотни тысяч компьютеров оказались инфицированы вредоносом, подменяющим результаты поиска в браузере. Ботнет перехватывает поисковые запросы в Google, Bing и Yahoo! с компьютеров пользователей и заменяет легитимные результаты поиска на поддельные из созданной преступниками поисковой системы. Как сообщают исследователи из компании Bitdefender, злоумышленники совершают подмену с помощью вредоносной программы Redirector.Paco. С сентября 2014 года вредонос инфицировал более 900 тыс. компьютеров по всему миру, преимущественно в Индии, Малайзии, Греции, США, Италии, Пакистане, Бразилии и Алжире.

 Вредонос включен в модифицированный пакет установки таких хорошо известных программ, как WinRAR, Connectify, YouTube Downloader, Stardock Start8 и KMSPico. После установки на компьютер жертвы, вредонос изменяет интернет-настройки и использует прокси-сервер, указанный злоумышленниками в файле PAC (Proxy auto-config). Redirector.Paco устанавливает на инфицированном компьютере корневой сертификат, сгенерированный вредоносом. Затем вредоносное ПО генерирует поддельные сертификаты для Google, Yahoo! и Bing, которые принимает браузер жертвы. Redirector.Paco устанавливает уникальный корневой сертификат на каждый зараженный компьютер. Вредоносное ПО позволяет осуществить атаку "человек посередине". Прокси-сервер подключается к легитимной поисковой системе, заменяет результаты поиска на поддельные из созданной преступниками поисковой системы, повторно шифрует страницу с помощью сертификата SSL для соответствующего доменного имени и после отображает ее в браузере пользователя.

 Существует две разновидности вредоноса. Первая версия использует удаленный сервер для размещения PAC-файла и прокси. Процесс подмены результатов поиска занимает некоторое время. Пользователь может наблюдать сообщения на панели состояния браузера наподобие "ожидание прокси туннеля" ("waiting for proxy tunnel") или "загрузка скрипта прокси" ("downloading proxy script").

 У второй разновидности PAC-файл и прокси хранятся на локальном компьютере. Эта версия создана с помощью платформы .Net, и влияние вредоноса на скорость работы браузера не так заметно. Функциональность перехвата HTTPS обеспечивается библиотекой .Net, называемой FiddlerCore.

Источник:
securitylab.ru