Троянец-кликер распространяется под видом браузера

Троянец-кликер распространяется под видом браузера

Современные киберпреступники не брезгуют никакими способами заработка в сети: в ход идет и обычное мошенничество, и распространение троянцев, и хищение конфиденциальной информации, которая впоследствии может быть использована в различных криминальных схемах. Несколько особняком в этом ряду стоит одна из разновидностей компьютерно-преступного промысла, называемая на жаргоне злоумышленников «кликфродом».

Здесь кибепреступники также не обходятся без помощи специальных вредоносных программ, одна из которых получила название Trojan.Click3.9243.

Несмотря на сходное звучание, слово «кликфрод» не имеет ни малейшего отношения к популярному персонажу фантастического романа Дж.Р.Р. Толкина: за этим термином скрывается накрутка посещаемости веб-сайтов или количества щелчков мышью по различным рекламным баннерам, в то время как сам пользователь совершенно не заинтересован в просмотре этой рекламы. Целью злоумышленников обычно является увеличение прибыли в партнерских программах, оплачивающих переходы пользователей по рекламным ссылкам. Также нередко владельцы коммерческих интернет-ресурсов специально «накликивают» объявления своих конкурентов для того, чтобы увеличить их рекламные расходы. Достигается это с использованием специальных автоматизированных программ, которые чаще всего устанавливаются на компьютер жертвы без ее ведома. Одно из таких вредоносных приложений, обнаруженных специалистами компании «Доктор Веб» еще в конце июля, получило наименование Trojan.Click3.9243, сообщает news.drweb.com.

 

 

Этот троянец распространяется в рамках хорошо знакомой специалистам по информационной безопасности партнерской программы Installmonster (также известной как Zipmonster), уже неоднократно замеченной в связях с вирусописателями. Троянец выдает себя за браузер под названием Ad Expert Browser, правда, пользователю не объясняется зачем он нужен и какие преимущества он дает. В лицензионном соглашении к этому приложению сказано, что Ad Expert Browser может иногда показывать пользователю рекламу в процессе просмотра веб-страниц, однако на практике это крайне маловероятно: истинное предназначение Trojan.Click3.9243 кроется совершенно в другом. Запустившись на инфицированном компьютере, троянец создает скрытый рабочий стол Windows, на котором стартует несколько процессов, — с их помощью Trojan.Click3.9243 открывает различные веб-страницы и начинает щелкать по рекламным баннерам. При этом троянец пытается имитировать действия живого человека: он прокручивает веб-страницы, эмулирует движения курсора мыши, «просматривает» видеоролики с использованием встроенных кодеков, предварительно отключив в своем приложении звук, чтобы случайно не потревожить пользователя. В процессе своей работы троянец отправляет на сервер злоумышленников перечень запущенных на инфицированном ПК процессов и сведения о нагрузке на процессор компьютера. Проанализировав цифровую подпись этой вредоносной программы, вирусные аналитики пришли к выводу, что к ее созданию могут быть причастны разработчики троянца Trojan.Zadved.1, о распространении которого компания «Доктор Веб» сообщала в декабре 2013 года.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Рекордную DDoS-атаку в 11,5 Тбит/с провели с ботнета из 300 тыс. роутеров

Специалисты QiAnXin XLab уже год отслеживают DDoS-атаки с участием AISURU и уверены, что рекордный по мощности флуд, зафиксированный в прошлом месяце Cloudflare, был сгенерирован именно этим ботнетом.

Китайским экспертам удалось выявить трех операторов вредоносной сети. Один из них, с ником Snow, отвечает за разработку DDoS-бота, некто Tom — за поиск уязвимостей для распространения инфекции, Forky — за сдачу ботнета в аренду.

В апреле этого года Tom взломал сервер, с которого Totolink раздает обновления прошивки для своих роутеров, и внедрил вредоносный скрипт (t.sh), выполняющий перенаправление на загрузку AISURU.

В результате численность ботнета за короткий срок перевалила за 100 тысяч. В настоящее время, по оценке исследователей, в его состав входят около 300 тыс. зараженных устройств, способных дружными усилиями создать DDoS-флуд мощностью до 11,5 Тбит/с.

Для распространения AISURU в основном используются уязвимости N-day в роутерах D-Link, Linksys, Zyxel, SDK Realtek, а также в IP-камерах. Конкуренции зловред не терпит: так, он в какой-то момент угнал все видеорегистраторы nvms9000 у RapperBot.

Особой избирательности в выборе целей для DDoS-атак не замечено. Их число может доходить до нескольких сотен в сутки.

 

География мишеней — в основном Китай, США, Германия, Великобритания и Гонконг.

 

В новейших образцах AISURU реализована также прокси-функциональность. С этой целью им придан опциональный модуль для проверки скорости интернета по Speedtest.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru