Posted 28 января 2014,, 05:44
Published 28 января 2014,, 05:44
Modified 11 ноября 2022,, 19:11
Updated 11 ноября 2022,, 19:11
Вредоносная программа заразила тысячи компьютеров
Win32/Boaxxe. BE из семейства вредоносных программ, используемых киберпреступниками для перенаправления пользователя на рекламные сайты ради получения платы от рекламодателя (эта схема называется «кликфрод»).
Данная программа попадает в систему через вредоносные ссылки, которые активно распространяются на сомнительных или зараженных сайтах, а также через спам-рассылки. С сентября 2013 года троян Boaxxe распространяется силами участников одной из мошеннических партнерских программ (т.н. «партнерок») в русскоязычном сегменте сети.
Троян Boaxxe реализует два типа кликфрода — автоматический и инициированный пользователем. В первом случае клики на рекламные ссылки автоматически генерируются без ведома и участия пользователя, в течение всего времени работы зараженной системы. Во втором случае переход по рекламной ссылке инициирует сам пользователь — он вводит поисковый запрос в одну из легальных поисковых систем, после чего троян подставляет в результаты выдачи рекламные сайты вместо искомых.
При автоматическом кликфроде прибыль злоумышленников значительно выше — согласно статистике активности вышеупомянутого участника партнерки, за два месяца его прибыль составила $200 за автоматический кликфрод и всего $50 за обычный, инициированный пользователем.
Программа использует различные механизмы внедрения и заражения, в зависимости от используемого браузера, а также умеет скрываться от антивирусных сканеров.
Кроме того, троян избегает обнаружения самим пользователем. Так, когда пользователь выполняет поисковый запрос с использованием ключевого слова, Win32/Boaxxe. BE отправляет это слово в собственную поисковую систему, которая возвращает список подходящих рекламных сайтов, ссылки на которые и подставляются в поисковую выдачу.
При нажатии на такую ссылку пользователь не успевает увидеть легальную страницу, на которую он кликнул — вместо этого троян сразу перенаправляет его на одну из рекламных страниц, которые более-менее соотносятся с изначальным запросом. При отсутствии рекламных сайтов, относящихся к данному ключевому слову, перенаправление не выполняется.
Что примечательно, если в поисковой выдаче показываются ссылки на такие сервисы, как Wikipedia, Facebook или Twitter, содержание которых, скорее всего, хорошо знакомо пользователю, перенаправление также не будет осуществляться.
В итоге жертва Boaxxe может месяцами пополнять карманы злоумышленников и даже не подозревать об этом.