Digitale specialisten hebben een nieuw type malware ontdekt dat valse advertentie impressies creëert om frauduleuze advertentie inkomsten te genereren. In een paar maanden creëerde de malware meer dan een miljard valse impressies, weet ZDNet te vertellen.
Afgelopen woensdag rapporteerde cybersecurity bedrijf Flashpoint dat de malware voor een miljard valse Google Adsense-impressies verantwoordelijk is geweest in drie maanden. Doelwitten van de malware op Windows zijn bijvoorbeeld Google Chrome, Mozilla Firefox en de Yandex-browser. Geïnfecteerde browsers worden gekoppeld aan een botnet, waarmee voor cybercriminelen maandelijks valse inkomsten worden gecreëerd door het illegaal omhoogstuwen van het aantal advertentie-impressies
Advertentie impressies: Het aantal keren dat een advertentie vertoond wordt, ook wel views of vertoningen genoemd. De teller begint te lopen zodra er op een url wordt geklikt. Een klik wordt ook meegeteld als de bezochte pagina niet helemaal geladen wordt.
De browser van een slachtoffer wordt eerst geïnfecteerd door malware die in staat is om veiligheidslekken of kwetsbaarheden in de software uit te buiten. In die eerste fase wordt een nieuwe, kwaadaardige browserextensie toegevoegd of wordt de “Patcher”-module, die deze taak voor de malware uitvoert, gedownload. Het installatieprogramma voor deze module zal zich op Windows voordoen als een geplande normale taak, door zich te gedragen alsof het gekoppeld is aan Windows Update (zo wordt het programma dus uiteindelijk zelfs automatisch uitgevoerd).
Injectie van advertentie-impressies
Zodra de kwaadaardige extensie is toegevoegd, wordt een ander onderdeel onder de naam Finder geïmplementeerd, dat aanmeldingsgegevens van de browser evenals cookies steelt. Finder stuurt die gegevens vervolgens naar de command-and-control-server (C2) van de operator. Een aparte C2 wordt ook gebruikt om commands door te geven aan de malware, bijvoorbeeld om in te kunnen stellen hoe vaak bots controleren op gestolen informatie. Advertenties worden vervolgens als het ware geïnjecteerd in browsersessies. Ook genereren scripts soms verkeer op de achtergrond om valse impressies te creëren zonder dat de gebruiker hier überhaupt van op de hoogte is.
De code plaatst zichzelf niet op elke website die een slachtoffer bezoekt. De malware gebruikt namelijk ook zwarte lijsten, waarop bijvoorbeeld Google-domeinen en Russische websites staan. Flashpoint meldt overigens dat het grootste aantal installatie pogingen heeft plaatsgevonden in Rusland, Oekraïne en Kazachstan.
Bron: zdnet, techzine
Reactie plaatsen
Reacties