Es gibt erfolgreiche bösartige Kampagnen, und dann gibt es erfolgreiche bösartige Kampagnen. Diese Geschichte fällt in die zweite Kategorie, wie mehr als 1.7 Millionen infizierten Windows-Lauf Computer wurden für Klickbetrug ausgebeutet. Die Kampagne wurde 3ve genannt, und wurde mit dem koordinierten Einsatz der Abteilung für innere Sicherheit analysiert (DHS) und das Federal Bureau of Investigation (FBI).
Zusamenfassend, die Betreiber hinter 3ve erstellt gefälschte Versionen von Premium-Websites und ihre Besucher, und kanalisiert die Werbeeinnahmen direkt in ihre eigenen Taschen. 3ve erhalten Kontrolle über 1.7 Millionen Unique IPs von Opfer-Computern nutzen infiziert mit Boaxxe / Miuref und Kovter Malware, sowie entführte Border Gateway Patrol IP-Adressen, die Experten, die in der offizielle Analyse.
Technische Übersicht über die 3ve Klickbetrug Betrieb
Die Malware, die in der Infektionskette von 3ve verwendet wurde, ist ein bekannter varmint - Kovter. Zurück in 2016, wurde ein Stamm von dateilosen Kovter detektiert, mit einem legitimen Browser Mozilla Firefox-Update Pack. In den letzten Infektion Fällen, scheint die Malware über Spam-E-Mail-Anhänge und kompromittierte Websites worden zu sein verbreitet, trickst Benutzer in das Herunterladen Fälschung Chrom, Firefox und Flash-Updates.
Ein weiteres Stück von Malware in diesen Angriffen verwendeten Boaxxe / Miuref. Die Analyse zeigt, dass die Kontrolle über erhaltenen 3ve 1.7 Millionen Unique IPs von Systemen infiziert mit beiden Boaxxe / Miuref und Kovter Malware nutzt, sowie entführte Border Gateway Patrol IP-Adressen.
Die Boaxxe Malware wird auch durch E-Mail-Anhänge verbreitet und Drive-by-Downloads. Es scheint, dass der Boaxxe Botnet in einem Rechenzentrum befindet, mit Hunderten von Maschinen zu gefälschten Websites Surfen. Wenn diese gefälschten Seiten in einen Browser geladen, Anfragen für aufgegebene Anzeigen auf diesen Seiten zu treten.
Dann, die Computer im Rechenzentrum Verwenden Sie die Boaxxe Botnet als Proxy um Anfragen für diese Anzeigen, sagten die Forscher, mit einem Kommando- und Kontrollserver Anweisungen an die versklavten Systeme Senden der Anzeigenanfragen zu machen, Sie versuchen, ihren wahren Rechenzentrum IPs zu verstecken.
Experten ermutigen Benutzer, die sie von der 3ve Schema entführt worden glauben, dass ihre Beschwerden zu unterbreiten www.ic3.gov und verwenden Sie die 3ve hashtag im Körper der Beschwerde.