Ci sono campagne di successo dannosi, e poi ci sono campagne di successo dannosi. Questa storia rientra nella seconda categoria, come più di 1.7 milioni di infetti di Windows-running computer sono stati sfruttati per click fraud. La campagna è stata soprannominata 3ve, ed è stato analizzato con lo sforzo coordinato del Department of Homeland Security (DHS) e il Federal Bureau of Investigation (FBI).
In breve, gli operatori dietro 3ve create versioni falsificate di siti web di alta qualità e dei loro visitatori, e incanalato le entrate pubblicitarie direttamente alle proprie tasche. 3ve controllo avuto sopra 1.7 milione di indirizzi IP unici sfruttando i computer infettati da vittima Boaxxe / Miuref e Kovter il malware, così come gli indirizzi IP Border Gateway Patrol dirottati, detto gli esperti nel analisi ufficiali.
Panoramica tecnica della 3ve click fraud Funzionamento
Il malware che è stato utilizzato nella catena infezione di 3ve è un parassita noto - Kovter. Già nel 2016, È stato rilevato un ceppo di fileless Kovter, utilizzando un aggiornamento del browser Mozilla Firefox pacchetto legittimo. Negli ultimi casi di infezione, il malware sembra essere stato diffuso tramite allegati di posta elettronica di spam e siti web compromessi, indurre gli utenti a falso scaricamento Cromo, Firefox e aggiornamenti Flash.
Un altro pezzo di malware utilizzato in questi attacchi è Boaxxe / Miuref. L'analisi mostra che 3ve ottenuti controllo sulla 1.7 milione di indirizzi IP unici per i sistemi sfruttando infettati con entrambi Boaxxe / Miuref e Kovter di malware, così come gli indirizzi IP Border Gateway Patrol dirottati.
Il malware Boaxxe si diffonde anche attraverso allegati di posta elettronica e download drive-by. Sembra che la botnet Boaxxe si trova in un centro dati, con centinaia di macchine navigazione a siti web fasulli. Quando queste false pagine vengono caricate in un browser, richieste di annunci da collocare in queste pagine si verificano.
Poi, i computer del centro dati utilizzare la botnet Boaxxe come proxy per rendere le richieste di questi annunci, i ricercatori hanno detto, con un server di comando e controllo invio di istruzioni ai sistemi di schiavi per fare le richieste di annuncio, il tentativo di nascondere la loro vera data center IP.
Gli esperti incoraggiano gli utenti che ritengono di essere stati dirottati dal regime 3ve a presentare le loro lamentele al www.ic3.gov e utilizzare l'hashtag 3ve nel corpo del reclamo.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: