Pay-Per-Installアフィリエイトビジネス – アドウェアから数百万を作る

PUPが何であるかを知らないアクティブなオンラインユーザーはほとんどいません (主に直接の経験から). せいぜい, 望ましくない可能性のあるプログラムは、ほとんどまたはまったくメリットをもたらしません, そして最悪の場合, それらはあなたのシステムに非常に有害である可能性があります. ハードドライブのスペースを占有することに加えて, 彼らはまたあなたのコンピュータを遅くします, 邪魔な広告であなたをあふれさせる, 知らないうちに許可なくブラウザの設定を変更することがよくあります. 望ましくないソフトウェアは、多くの場合、インストールパッケージにバンドルされているアドウェアやスパイウェアに付属しています。.

アドウェアは引き続き悪意のあるものです

5月に実施された新しい研究 2019 アドウェアとPUPの悪意のある性質を確認します. XavierdeCarnédeCarnavaletとMohammadMannanの研究者は、Wajamとして知られるアドウェアビジネスの有名なプレーヤーを分析しました。. 研究者たちは、6年近くの間にワジャムの進化を調査しました. 現在 2016, カナダのプライバシーコミッショナーのオフィスによって明らかにされた, Wajamは「数億のインストール」を行い、ユーザーから400TBの個人情報を収集しました。, レポートによると.

ワジャムはそれ以来存在しています 2013. 過去に, これは、ユーザーがオンラインで検索した情報や、TwitterやFacebookなどのソーシャルプラットフォームで友達が共有した情報を見つけることができるソーシャル検索ブラウザアドオンとして宣伝されていました。. これは広告でサポートされているブラウザプラグインであるため, Wajamは、一部のユーザーが非常に迷惑だと感じるさまざまな広告を表示することで知られています. Wajamを望ましくない可能性のあるアプリケーションに変えるのは、ポップアップに関連するさまざまな感染のリスクです。, バナー広告とテキスト内広告, これにより、ユーザーは未確認で安全でないWebページに移動する可能性があります.

言い換えると, Wajamは、ブラウザトラフィックに広告を挿入することが知られています, マルウェアオペレーターが使用する手法を使用する, マンインザブラウザなど (ブラウザプロセスインジェクション) Zeusの操作で見られる攻撃. 他の例には、反分析および回避技術が含まれます, セキュリティポリシーのダウングレードとデータ漏洩. についてもっと読む ワジャム調査.

インストールごとの支払いスキームはどのように機能しますか? レポートでケビン・スティーブンスが指摘したように, SecureWorks CounterThreatUnitのセキュリティ研究者, Pay-Per-Installビジネスモデルは何年も前から存在しています. それが最初に始まったとき, 主に広告の配信に使用されました, 一方、今日では主にスパイウェアやマルウェアの脅威を配信するために使用されています.

ビジネスは、感染したコンピューターのネットワークの作成に関心のあるアフィリエイトによって開始されます. 次に、当該アフィリエイトはPPIサイトにサインアップし、PPIプロバイダーからファイルを受け取ります。, もともとはアドウェアプログラムの変種でした. それで, アフィリエイトは、PPIが提供するファイルを、自分のサイトでホストできる別のプログラムにバンドルします. これは、PPIサイトが提供するアドウェアを既知のプログラムと組み合わせることができるバインダープログラムとしても知られています。. 最終的な目標は、被害者がプログラムをダウンロードし、アドウェアをコンピューターにインストールすることです。. これが起こるとき, 上記のアフィリエイトはインストールごとに支払われます.

---

ソフトウェアをダウンロードした場合, 主にフリーウェア, あなたは間違いなくアドウェアを経験しました, または予期しない, 画面に招待されずに表示される邪魔なポップアップ広告. 子犬は迷惑であり、それは誰も否定できない事実です, 特に、これらのプログラムの潜在的な被害をさらに説明するための特定の調査がある場合. この特定の研究によると、私たちは飲み込もうとしています, 不要なソフトウェアは、収益性の高いグローバル産業の一部です, 否認の層によって保護されています. バンドルビジネスがとても成功しているのも不思議ではありません!

私たちが話している研究は論文で説明されています, “商用のインストールごとの支払いと不要なソフトウェアの配布の調査“, Googleの研究者によって実行されます, ニューヨーク大学, 国際計算機科学研究所. 研究者 “商用のインストールごとの支払いのエコシステムを探索する (PPI) 望ましくないソフトウェアの急増においてそれが果たす役割“.

商用のインストールごとの支払いとは (PPI)?

これらのファミリの開発者は、インストールごとに$ 0.10〜 $ 1.50を支払います。これは、ユーザーの同意なしにユーザーを現金化するか、法外なサブスクリプション料金を請求することによって回収する初期費用です。. Googleセーフブラウジングテレメトリに基づく, PPIネットワークがドライブオーバーすると推定します 60 毎週100万回のダウンロード試行—マルウェアのほぼ3倍. アンチウイルスとブラウザは、不要なソフトウェアからユーザーを保護するための防御策を展開しています。, PPIネットワークが検出を積極的に妨害または回避するという証拠を見つけました.

ご覧のように, インストールごとの支払い方法と不要なアプリケーションの拡散の間には強いつながりがあります. Symantec 研究者は以前、インストールごとの支払いを吹き替えました “新しいマルウェア配布ネットワーク“, 予見可能な過去のマルウェアでは (お気に入り ワーム) サーバー側の脆弱性の助けを借りて自己伝播していました. 調査結果はまた、現在忍耐しているいくつかの商業PPIオペレーターの欺瞞的な慣行を示しています, 今後もそうし続けるでしょう.

その後、攻撃の焦点はクライアント側の攻撃とソーシャルエンジニアリング手法に移りました (フィッシングのように). これらの攻撃では, ユーザーの操作が必要です–潜在的な被害者は訪問する必要があります 侵害されたWebサイト, メールの添付ファイルを開く, 等. これらのテクニックは間違いなく結果をもたらしますが, マルウェアや不要なソフトウェアを大規模に拡散することはありません.

これが、インストールごとの支払い配布モデルが市場に参入する方法です。. それが灰色の領域であるという事実は、物事を扱うのを非常に複雑にします.

インストールごとの支払い配布モデルは、収益分配と手数料に基づいています. マルウェアの作成者には、マルウェアを大規模に拡散するためのリソースや帯域幅がありません。. 代わりに、彼らはアフィリエイトのネットワークに依存しています, マルウェアを配布する人, そしてその見返りに、インストールごとにコミッションが支払われます. [ノートンライフロックレポート経由]

言うまでもなく, 商用PPIは、非常に効果的な現金化スキームです。 サードパーティのプログラムは、正規のソフトウェアにバンドルされています. ソフトウェアに加えて、ユーザーは最初にインストールしたかった, 彼はまたボーナスを受け取ります–彼のシステムのパフォーマンスに影響を与える不要なコードの一部. ここでの最悪のシナリオは、厄介なマルウェアの一部を取得することです. 最良のシナリオは、検出された脅威に関する広告またはポップアップ警告の突然の表示です。 (有名なテクニカルサポート, 不正なAVおよびスケアウェア詐欺).

でも, これらの広告やポップアップは、後でエクスプロイトがロードされた侵害されたWebサイトにリンクする可能性があります, これは通常、ランサムウェアの配布で終わります. または、機密情報がユーザーから収集される場合があります, 後でさらなる攻撃に悪用される可能性があります, または闇市場で販売することができます. したがって、どのような場合のシナリオも、それを避けたいと思うほど悪いものです。!

彼らの研究中, Googleの専門家, ニューヨーク大学, および国際計算機科学研究所 4つのPPIアフィリエイトに焦点を当てた (アモネタイズ, InstallMonetizer, OpenCandy, とアウトブラウジ) さまざまな分析のために定期的にダウンロードされるソフトウェアパッケージ. 彼らを最も驚かせたのは、ダウンロードがパーソナライズされて、ペイロードが配信される可能性を最大化する程度でした。.

最も長く実行されているPPIキャンペーンは何ですか?

広告インジェクター

広告インジェクターは、ユーザーのブラウジングエクスペリエンスを変更し、他の方法ではWebサイトに表示されない追加の広告を置き換えたり挿入したりするように設計されています. ほとんどのPPIネットワークは、広告インジェクターの配布に参加していることが確認されています。.

ブラウザ設定ハイジャック犯

これらは、永続的で削除が困難な方法でブラウザの設定を具体的に変更するように設計された脅威です。.

システムユーティリティ

これらには、被害者を怖がらせて不正な製品を購入させるように設計されたスケアウェアアプローチが含まれます. このカテゴリには、さまざまな高速化ユーティリティと不正なセキュリティ製品が含まれます.

平均的なユーザーがPPI業界を気にする必要がある理由

PPIネットワークは通常、広告主のオファーを表示する前に、システムにウイルス対策エンジンが存在するかどうかを事前に確認するオプションを広告主に提供することをご存知ですか? 卑劣な, 右? この事前チェックは、レジストリキーのブラックリストに基づいています, ファイルパス, 特定の広告主によって指定されたレジストリ文字列. 研究者はリストを作成しました 58 事前チェック要件のランダムサンプルに表示される一般的なアンチウイルストークン, VirusTotalに参加しているAV会社の名前と一緒に.

それで, それらはすべてスキャンし、それらのトークンのインストール要件を提供します. 彼らがデータセットに基づいて結論付けたのは、 20% AVソリューションを搭載したシステムでインストールが発生しないようにするPPIダウンローダー機能を利用する. AVチェックが存在する場合, 広告主は平均して 3.6 AVファミリー. 研究者が信じているのは、PPIネットワークが一流のビジネスパートナーとして不要なソフトウェア開発者をサポートしているということです.

PPIキャンペーンの被害を中和するために何ができるか?

手短に, この調査では、PPIアフィリエイトネットワークが次のような不要なソフトウェアをサポートおよび拡散していることが明らかになっています。:

• 広告インジェクター
• ブラウザ設定ハイジャック犯
• システムユーティリティ

ユーザーがブラウザをクリーンアップするためによく使用する方法の1つは、 Chromeクリーンアップツール. そのようなツールを使用する必要がある前に, あなたは次のようなサービスを検討したいかもしれません Googleセーフブラウジング. このサービスにより、クライアントアプリケーションは、Googleの安全でないWebリソースの頻繁に更新されるリストに対してURLをチェックできます。. (追加の安全上のヒントは、記事の下にあります).

不要なインストールは間違いなく想像以上のものです–合計で, PPIエコシステムは 60 毎週100万回のダウンロード試行. 成功の一部は、商用PPIネットワークがAV市場に応じて進化するという事実によるものです。.

多くのAVソリューションとブラウザが不要なソフトウェアの署名を統合し始めたとしても, ネットワークは継続的にこれらの保護を回避しようとします. でも, AVがシステムに存在するときに広告主がインストールを中止するという唯一の事実はボリュームを話します. ウイルス対策プログラムの能力を過小評価しないでください! そして、あなたの広告ブロッカーをオンにしてください!

望ましくないソフトウェアやマルウェアに対する追加のセキュリティのヒント

• 追加のファイアウォール保護を使用する. 2つ目のファイアウォールをダウンロードすることは、潜在的な侵入に対する優れたソリューションです。.
• あなたのプログラムは、あなたのコンピュータで読み書きするものに対して、より少ない管理力を持つべきです. 開始する前に、管理者アクセスを促すメッセージを表示する.
• より強力なパスワードを使用する. より強力なパスワード (できれば言葉ではないもの) いくつかの方法で割るのは難しい, 関連する単語を含むパスリストが含まれているため、ブルートフォーシングを含む.
• 自動再生をオフにする. これにより、すぐに挿入されるUSBスティックやその他の外部メモリキャリア上の悪意のある実行可能ファイルからコンピュータを保護します.
• ファイル共有を無効にする–感染した場合にのみ脅威を制限するために、パスワードで保護するためにコンピューター間でファイル共有が必要な場合に推奨.
• リモートサービスをオフにします。これは、大規模な損害を引き起こす可能性があるため、ビジネスネットワークに壊滅的な打撃を与える可能性があります。.
• AdobeFlashPlayerを無効にするか削除することを検討してください (ブラウザによって異なります).
• 電子メールを含む疑わしい添付ファイルをブロックして削除するようにメールサーバーを構成します.
• OSとソフトウェアのアップデートを見逃すことはありません.
• 赤外線ポートまたはBluetoothをオフにします.
• ネットワークに侵入先のコンピュータがある場合, 電源を切り、ネットワークから手動で切断して、すぐに隔離してください。.
• 強力なマルウェア対策ソリューションを採用して、将来の脅威から自動的に身を守ります.