Malver Sefnit: Nevidljive prevare sa lažnim klikovima na reklame

Opisi virusa, 27.09.2013, 10:24 AM

Malver Sefnit: Nevidljive prevare sa lažnim klikovima na reklame

Autori ozloglašenog Trojanca Sefnit su unapredili metode infekcije i zloupotrebe klikova, upozorili su stručnjaci Microsoft-ovog Centra za zaštitu od malvera, koji su otkrili novu verziju malvera o kome se dugo vremena ništa nije čulo.

Za malver Sefnit koji je dizajniran za izvođenje prevara sa klikovima se pre dve godine mislilo da je mrtav, jer je krajem 2011. komponenta malvera odgovorna za prevare sa klikovima nestala sa scene. Međutim, u junu ove godine otkrivena je nova komponenta koja je takođe dizajnirana za prevare sa klikovima i koju su u Microsoft-u nazvali Mevade. Mevade je privukao pažnju stručnjaka i medija jer je ovaj malver odgovoran za prvu veliku bot mrežu koja koristi Tor za anonimizaciju i skrivanje mrežnog saobraćaja.

Međutim, analiza je pokazala da su Mevade i Sefnit ista familija malvera i da iza ovih malvera stoje isti autori.

Novi način na koji Sefnit zlouptrebljava klikove na reklame se razlikuje od onog iz 2011. Metoda koju sada koristi Sefnit ga čini nevidljivijim i to je razlog zbog čega je malver uspeo da tako dugo izbegne detekciju antivirusa.

Starija verzija malvera se oslanja na preotimanje klikova. Kada korisnik zaraženog računara pretražuje internet i klikne na neki od rezultata pretrage koju mu je ponudio pretraživač kao to je na primer Google, povremeno će klik biti preotet tako da će korisnika posle putovanja preko reklamne agencije dovesti na web stranicu koja samo podseća na onu koju je korisnik nameravao da poseti.

Iako su ovakve prevare nevidljive iz perspektive reklamnih agencija, one ipak nisu nevidljive za korisnika čije je klik preotet. Pronicljiviji među internet korisnicima će primetiti da nije na web sajtu na kome bi trebalo da bude, i možda pokušati da pronađe razlog zbog čega se to desilo. Zahvaljujući takvim korisnicima koji uzorke malvera predaju poizvođačima antivirusa ovakvi malveri budu na kraju otkriveni.

Nova verzija malvera Sefnit, odnosno njegova komponenta za zloupotrebu klikova je sada struktuirana kao proxy servis i koristi open source 3proxy project. Bot mreža proksija zaraženih malverom Sefnit se koristi za lažne klikove na reklame. Novu verziju malvera Sefnit sada ne odaju simptomi infekcije računara koji bi privukli pažnju korisnika kao što je to bio slučaj sa starijom verzijom.

Bot mreža proksija sada šalje zahteve, ili lažne klikove na reklame, preko mreže partnerskih pretraživača kao što je mywebsearch.com i legitimnih marketing agencija da bi na kraju bio prevaren oglašivač.

Evo kako to izgleda na primeru koji je naveo Microsoft. Autori Sefnit-a koji su verovatno partneri Mywebsearch, koriste proxy servis za preusmeravanje saobraćaja partneru da bi se izveo lažni klik na Groupon oglas koji je postavljen na Google-ovoj oglašivačkoj mreži, pri čemu je Groupon prevarena strana u procesu. Oglašivač mora platiti Google-u za lažni klik, Google uzima svoj deo a ostatak isplaćuje partneru koji je u ovom slučaju Mywebsearch od koga kriminalci uzimaju proviziju za klik.

Da bi prevara ostala što duže neprimećena, autori malvera su se pobrinuli da malver ne klikće prečesto na reklame, simulirajući normalno ponašanje korisnika koji pretražuje internet. Vremenski interval između dva lažna klika je jednom u nekoliko dana, pa čak i duži. Kada bi klikovi bili češći, reklamne agencije bi otkrile prevaru, odbile da isplate novac partneru i vratile novac prevarenom oglašivaču.

U Microsoft-u su identifikovali nekoliko vektora infekcije nove verzije malvera Sefnit. Jedan od njih uključuje instaler za program „File Scout“. Kada se ovaj program instalira zajedno sa njim se krišom instalira i Trojanac Sefnit.

Detaljniju analizu malvera Sefnit možete naći na blogu Microsoft-ovog Centra za zaštitu od malvera.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac koji se prodaje na ruskim hakerskim forumima onima koji ga kupe nudi mogućnost krađe korisničkih naloga na popularnim servisima kao ... Dalje

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Ako na pretraživačima poput Googlea tražite softver TeamViewer mogli biste naleteti na linkove koji bi vas mogli odvesti do lažnih sajtova na koji... Dalje

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad provlači se kroz Appleovu ugrađenu antivirusnu tehnologiju XProtect i inficira Mac računare u okviru više kampanja k... Dalje

Novi trojanac FatalRAT širi se preko Telegrama

Novi trojanac FatalRAT širi se preko Telegrama

Sajber kriminalci koriste Telegram kanale da bi širili novog trojanca koji im omogućava daljinski pristup inficiranim uređajima (RAT). Istraživač... Dalje

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

Microsoft upozorio na malver LemonDuck koji inficira i Windows i Linux

LemonDuck je prvi put otkriven u Kini 2019. godine kao botnet koji je inficirane sisteme koristio za rudarenje kriptovalute Monero. Međutim, on je u ... Dalje