Eine Million Rechner starkes Botnetz tauscht Suchergebnisse aus

Nach Angaben rumänischer Forscher hat ein Windows-Schädling, der von Bitdefender als Redirector.Paco detektiert wird, innerhalb von anderthalb Jahren mehr als 900.000 Rechner (IP) infiziert, in erster Linie in Indien, Malaysia, Griechenland, den USA, Italien, Pakistan, Brasilien und Algerien. Die Hauptaufgabe dieses Trojaners liegt in der Umleitung von Suchanfragen und im Austausch der Suchergebnisse gegen Werbung, die gewinnbringend für die Betreiber ist.

Wie Softpedia – die Experten zitierend – schreibt, tauchte Paco Mitte September 2014 in den unendlichen Weiten des Netzes auf. Die Infektion beginnt damit, dass der Nutzer ein modifiziertes Installationspaket eines populären Programmes herunterlädt: WinRAR, YouTube Downloader, Connectify, KMSPico oder Stardock Start8. Um sicherzustellen, dass sich der Schädling dauerhaft festsetzt, wird der Liste der geplanten Tasks ein gefälschter Adobe Flash Scheduler oder ein gefälschtes Adobe Flash Update hinzugefügt, die den Start der schädlichen Komponenten (Skripte) gewährleisten, und zwar jedes Mal, wenn der Nutzer sich im System einloggt oder auch nach einem festgelegten Zeitplan.

Eine dieser Komponenten verändert die Internetparameter für den aktuellen Anwender und deaktiviert zu diesem Zweck zunächst einmal den Cache des Proxy-Servers. Dadurch wird bei jeder Anfrage des Nutzers an Google, Bing oder Yahoo die PAC-Datei (Proxy-Auto-Config-Datei) aufgerufen, die sich auf einer Drittressource befindet. Indem er ihren Inhalt steuert, leitet der Browser den Traffic nun an eine andere Adresse um. Dem Opfer werden unterdessen gefälschte Suchseiten mit Ergebnissen zurückgegeben, die mit der Custom Search Engine von Google generiert werden, die auf den Websites der Cybergangster installiert ist.

Um die Warnung des Systems vor einem Fehler bei der Verwendung von HTTPS zu umgehen, lädt und installiert eine der Installationskomponenten des Trojaners ein eigenes Root-Zertifikat, das es ihm ermöglicht, die gefälschten Seiten mit vor Ort generierten SSL-Zertifikaten zu überdecken. Bei Softpedia heißt es, dass man diesen Betrug erkennen könne, indem man auf das Schloss in der Adresszeile des Browsers klickt. Zudem werden die falschen Suchergebnisse ohne das Google-Logo im unteren Teil der Seite ausgegeben, und auch der Ladeprozess ist zu langsam, während dessen in der Statuszeile des Browsers die Mitteilung “ Waiting for proxy tunnel“ oder „Downloading proxy script“ erscheint.

Die Forscher haben noch eine weitere Komponente des Trojaners entdeckt, der es ermöglicht, die Ausgabe der Suchergebnisse lokal zu modifizieren, ohne Hilfe eines externen Servers. Zu diesem Zweck startet der Schädling einen MitM-Servers, indem er die dynamische Bibliothek FiddlerCore benutzt, und einen HTTP-Server, der dem Browser die PAC-Datei bereitstellt.

Das einzige Ziel dieser Trickserei ist das Generieren von Einnahmen für die Teilnahme an dem Partnerprogramm AdSense für Suchergebnisseiten, das Google für die Inhaber von Websites ins Leben gerufen hat. Es sieht die Platzierung einer benutzerdefinierten Suchmaschine auf der Website der Teilnehmer vor. Jeder Klick der Besucher auf eine Werbeanzeige, die sich zwischen den Ergebnissen der Suchanfragen befindet, verhilft dem Inhaber der Site zu einer gewissen Provision. In diesem Fall haben sich Cyberkriminelle diese Möglichkeit zunutze gemacht, um mit Hilfe ihres Botnetzes Geld zu scheffeln.

Quelle: Softpedia

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.