Há campanhas maliciosas de sucesso, e então há campanhas maliciosas de sucesso. Esta história se enquadra na segunda categoria, como mais do que 1.7 milhões de infectados computadores Windows em execução foram explorados para a fraude do clique. A campanha foi apelidado 3VE, e foi analisado com o esforço coordenado do Departamento de Segurança Interna (DHS) e o Federal Bureau of Investigation (FBI).
Em resumo, os operadores por trás da 3ve criaram versões falsas de sites premium e seus visitantes, e canalizaram a receita de publicidade diretamente para seus próprios bolsos. 3obtive controle sobre 1.7 milhões de IPs exclusivos, aproveitando os computadores vítimas infectados com Boaxxe / Miuref e Malware Kovter, bem como endereços IP do Border Gateway Patrol sequestrados, os especialistas disseram no análise oficial.
Visão geral técnica da operação 3ve Click Fraud
O malware que foi usado na cadeia de infecção do 3ve é um varmint bem conhecido - Kovter. Back in 2016, uma cepa sem arquivo de Kovter foi detectada, usando um pacote de atualização legítimo do navegador Mozilla Firefox. Nos últimos casos de infecção, o malware parece ter se espalhado por meio de anexos de e-mail de spam e sites comprometidos, enganando os usuários para que façam downloads falsos cromada, Raposa de fogo e Atualizações de Flash.
Outro tipo de malware usado nesses ataques é o Boaxxe / Miuref. A análise mostra que 3ve obteve controle sobre 1.7 milhões de IPs exclusivos, aproveitando os sistemas infectados com malware Boaxxe / Miuref e Kovter, bem como endereços IP do Border Gateway Patrol sequestrados.
O malware Boaxxe também se espalha por meio de anexos de e-mail e downloads drive-by. Parece que o botnet Boaxxe está localizado em um data center, com centenas de máquinas navegando em sites falsos. Quando essas páginas falsas são carregadas em um navegador, solicitações de anúncios a serem colocados nessas páginas ocorrem.
Então, os computadores no data center usar o botnet Boaxxe como um proxy fazer solicitações para esses anúncios, os pesquisadores disseram, com um servidor de comando e controle enviando instruções aos sistemas escravizados para fazer as solicitações de anúncios, tentando ocultar seus verdadeiros IPs de data center.
Os especialistas encorajam os usuários que acreditam ter sido sequestrados pelo esquema 3ve a enviarem suas reclamações para www.ic3.gov e usar a hashtag 3ve no corpo da reclamação.