Malver Sefnit: Nevidljive prevare sa lažnim klikovima na reklame

Opisi virusa, 27.09.2013, 10:24 AM

Malver Sefnit: Nevidljive prevare sa lažnim klikovima na reklame

Autori ozloglašenog Trojanca Sefnit su unapredili metode infekcije i zloupotrebe klikova, upozorili su stručnjaci Microsoft-ovog Centra za zaštitu od malvera, koji su otkrili novu verziju malvera o kome se dugo vremena ništa nije čulo.

Za malver Sefnit koji je dizajniran za izvođenje prevara sa klikovima se pre dve godine mislilo da je mrtav, jer je krajem 2011. komponenta malvera odgovorna za prevare sa klikovima nestala sa scene. Međutim, u junu ove godine otkrivena je nova komponenta koja je takođe dizajnirana za prevare sa klikovima i koju su u Microsoft-u nazvali Mevade. Mevade je privukao pažnju stručnjaka i medija jer je ovaj malver odgovoran za prvu veliku bot mrežu koja koristi Tor za anonimizaciju i skrivanje mrežnog saobraćaja.

Međutim, analiza je pokazala da su Mevade i Sefnit ista familija malvera i da iza ovih malvera stoje isti autori.

Novi način na koji Sefnit zlouptrebljava klikove na reklame se razlikuje od onog iz 2011. Metoda koju sada koristi Sefnit ga čini nevidljivijim i to je razlog zbog čega je malver uspeo da tako dugo izbegne detekciju antivirusa.

Starija verzija malvera se oslanja na preotimanje klikova. Kada korisnik zaraženog računara pretražuje internet i klikne na neki od rezultata pretrage koju mu je ponudio pretraživač kao to je na primer Google, povremeno će klik biti preotet tako da će korisnika posle putovanja preko reklamne agencije dovesti na web stranicu koja samo podseća na onu koju je korisnik nameravao da poseti.

Iako su ovakve prevare nevidljive iz perspektive reklamnih agencija, one ipak nisu nevidljive za korisnika čije je klik preotet. Pronicljiviji među internet korisnicima će primetiti da nije na web sajtu na kome bi trebalo da bude, i možda pokušati da pronađe razlog zbog čega se to desilo. Zahvaljujući takvim korisnicima koji uzorke malvera predaju poizvođačima antivirusa ovakvi malveri budu na kraju otkriveni.

Nova verzija malvera Sefnit, odnosno njegova komponenta za zloupotrebu klikova je sada struktuirana kao proxy servis i koristi open source 3proxy project. Bot mreža proksija zaraženih malverom Sefnit se koristi za lažne klikove na reklame. Novu verziju malvera Sefnit sada ne odaju simptomi infekcije računara koji bi privukli pažnju korisnika kao što je to bio slučaj sa starijom verzijom.

Bot mreža proksija sada šalje zahteve, ili lažne klikove na reklame, preko mreže partnerskih pretraživača kao što je mywebsearch.com i legitimnih marketing agencija da bi na kraju bio prevaren oglašivač.

Evo kako to izgleda na primeru koji je naveo Microsoft. Autori Sefnit-a koji su verovatno partneri Mywebsearch, koriste proxy servis za preusmeravanje saobraćaja partneru da bi se izveo lažni klik na Groupon oglas koji je postavljen na Google-ovoj oglašivačkoj mreži, pri čemu je Groupon prevarena strana u procesu. Oglašivač mora platiti Google-u za lažni klik, Google uzima svoj deo a ostatak isplaćuje partneru koji je u ovom slučaju Mywebsearch od koga kriminalci uzimaju proviziju za klik.

Da bi prevara ostala što duže neprimećena, autori malvera su se pobrinuli da malver ne klikće prečesto na reklame, simulirajući normalno ponašanje korisnika koji pretražuje internet. Vremenski interval između dva lažna klika je jednom u nekoliko dana, pa čak i duži. Kada bi klikovi bili češći, reklamne agencije bi otkrile prevaru, odbile da isplate novac partneru i vratile novac prevarenom oglašivaču.

U Microsoft-u su identifikovali nekoliko vektora infekcije nove verzije malvera Sefnit. Jedan od njih uključuje instaler za program „File Scout“. Kada se ovaj program instalira zajedno sa njim se krišom instalira i Trojanac Sefnit.

Detaljniju analizu malvera Sefnit možete naći na blogu Microsoft-ovog Centra za zaštitu od malvera.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver TrickBot greškom upozorava žrtve da su zaražene

Malver TrickBot greškom upozorava žrtve da su zaražene

Zloglasni malver TrickBot greškom upozorava žrtve da su zaražene i da treba da se obrate svom administratoru. TrickBot se najčešće širi preko ... Dalje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Za žrtve ransomwarea EvilQuest koji šifruje i krade fajlove sa macOS postoji besplatno rešenje

Loš kod ransomwarea ThiefQuest, koji isključivo inficira macOS uređaje, omogućava vraćanje šifrovanih fajlova, koji bi, da autori malvera nisu ... Dalje

Otkriven novi ransomware koji isključivo inficira macOS

Otkriven novi ransomware koji isključivo inficira macOS

Novi ransomware nazvan OSX.EvilQuest, otkriven ove nedelje, inficira isključivo macOS uređaje. Ono po čemu se razlikuje od drugih ransomwarea za ma... Dalje

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Ransomware Sodinokibi (REvil) ima novu taktiku za izvlačenje novca od žrtava

Grupa koja stoji iza jednog od najuspešnijih ransomwarea sada skenira mreže kompanija kako bi pronašla podatke o platnim karticama, plaćanjima i s... Dalje

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Sajber-kriminalci manipulišu Google pretragom da bi širili novi malver za Mac

Većina korisnika prilikom pretraživanja interneta je svesna da postoje zlonamerni sajtovi na kojima treba biti oprezan. Ali, za pretraživače Goog... Dalje