Il y a des campagnes malveillantes réussies, et puis il y a campagnes malveillantes réussies. Cette histoire tombe dans la deuxième catégorie, comme plus 1.7 millions d'ordinateurs sous Windows en cours d'exécution infectés ont été exploités pour fraude de clic. La campagne a été baptisée 3ve, et a été analysé avec l'effort coordonné du Département de la Sécurité intérieure (DHS) et le Federal Bureau of Investigation (FBI).
En bref, les opérateurs derrière 3ve ont créé des versions fausses de sites Web haut de gamme et leurs visiteurs, et canalisé les recettes publicitaires directement à leurs propres poches. 3ve obtenu le contrôle de 1.7 millions d'adresses IP uniques en tirant parti des ordinateurs infectés par des victimes Boaxxe / Miuref et logiciels malveillants Kovter, ainsi que les adresses IP Patrol détourné Border Gateway, les experts ont dit dans la analyse officielle.
Présentation technique du 3ve Cliquez sur la fraude d'exploitation
Le logiciel malveillant qui a été utilisé dans la chaîne d'infection de 3ve est un vaurien bien connu - Kovter. Retour en 2016, une souche de fileless de Kovter a été détectée, à l'aide d'un pack de mise à jour du navigateur Mozilla Firefox légitime. Dans les derniers cas d'infection, le malware semble avoir été propagé par les pièces jointes de mails et les sites Web compromis, incitant les utilisateurs à télécharger un faux Chrome, Firefox et mises à jour Flash.
Un autre morceau de malware utilisé dans ces attaques est Boaxxe / Miuref. L'analyse montre que 3VE obtenu le contrôle 1.7 millions d'adresses IP uniques en tirant parti des systèmes infectés par les deux Boaxxe / Miuref et les logiciels malveillants Kovter, ainsi que les adresses IP Patrol détourné Border Gateway.
Le logiciel malveillant est Boaxxe propage également par les pièces jointes et drive-by téléchargements. Il semble que le botnet Boaxxe est situé dans un centre de données, avec des centaines de machines à la navigation faux sites Web. Lorsque ces fausses pages sont chargées dans un navigateur, demandes d'annonces à placer sur ces pages se produisent.
Puis, les ordinateurs du centre de données utiliser le botnet Boaxxe comme proxy de faire des demandes pour ces annonces, les chercheurs, avec un serveur de commande et de contrôle l'envoi d'instructions aux systèmes réduits en esclavage pour faire les demandes d'annonces, essayant de cacher leur véritable centre de données IP.
Les experts encouragent les utilisateurs qui croient qu'ils ont été pris en otage par le régime de 3ve de soumettre leurs plaintes www.ic3.gov et utiliser le hashtag 3ve dans le corps de la plainte.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: