Trojanac Magala krišom klikće na oglase u rezultatima pretrage

Opisi virusa, 13.07.2017, 10:00 AM

Trojanac Magala krišom klikće na oglase u rezultatima pretrage

Zlatno doba trojanaca i virusa je davno prošlo vreme. Zlonamerni programi koje su pravili istraživači entuzijasti i oni za koje je to bila zabava su prošlost. Oni su zamenjeni programima koji se prave sa jednim jedinim ciljem - da zarade novac.

Ako ostavimo po strani ciljane napade koji su delo profesionalaca i koji imaju vrlo specifične ciljeve, najčešće vrste malvera o kojima danas slušamo jesu kripto-malveri i DDoS bot mreže sastavljene od IoT uređaja. Obe vrste pretnji su veoma profitabilne za sajber kriminalce i relativno se lako primenjuju. Ali one nisu jedine pretnje koje mogu da donesu zaradu sajber kriminalcima. Ne treba zanemariti ni vrlo brojnu porodicu graničnih malvera kojoj pripadaju reklamni botovi i moduli i partnerski programi koji se svi obično zovu potencijalno neželjeni programi (PUA/PUP). Oni su granični jer je tanka linija između klasifikovanja programa kao adware i definisanja istog programa kao trojanca.

Malver Magala na koga su upozorili istraživači kompanije Kaspersky Lab je upravo takav "otpadnik", koji je prešao granice "fer igre" kada je reč o oglašavanju.

Magala potpada pod kategoriju trojanca "clickera" koji imitiraju klikove korisnika na određenoj web stranici, čime se povećava broj klikova na oglase. Magala ne utiče na korisnike, osim što troši resurse inficiranog računara. Glavne žrtve su oni koji plaćaju reklame - obično je reč o vlasnicima malih firmi koji posluju sa beskrupuloznim oglašivačima.

Magala najpre proverava koja verzija Internet Explorera je instalirana na sistemu. Ako je u pitanju verzija 8 ili starije, trojanac se neće pokrenuti. Ako nađe željenu verziju browsera, pokreće se virtuelni desktop na kome se obavljaju sve dalje aktivnosti. Instalira se Maps Galaxy, toolbar koji menja početnu stranicu IE sa MyWay (hp.myway.com), endžin koji koristi Googeovu tehnologiju pretrage.

Trojanac zatim kontaktira komandno-kontrolni server (C&C server) sa koga preuzima tekstualni fajl koji sadrži listu sa rečima. Magala će ove reči tražiti preko MyWay web sajta koji je sada početna stranica Internet Explorera.

Kada se učitaju rezultati pretrage, Magala će kliknuti na prvih deset rezultata pretrage od kojih su neki promovisani oglasi. Magala sve ovo obavlja preko Windows IHTMLDocument2 interfejsa, mehanizma koji omogućava programima pristupanje web stranicama.

Magala zarađuje svaki put kada inficirani računar klikne na promovisane oglase.

"Koliko mi znamo, prosečna cena klika u kampanji kao što je ova je 0,07 dolara. Cena hiljadu klikova je 2,2 dolara", kaže Sergej Junakovski iz Kaspersky Laba. On je procenio da oni koji stoje iza ove kampanje mogu da zarade do 350 dolara od svakog inficiranog računara.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Opasni malver koji krade lozinke širi se preko reklama za popularni softver

Opasni malver koji krade lozinke širi se preko reklama za popularni softver

Sajber kriminalci reklamiraju lažne verzije popularnog softvera pokušavajući da prevare korisnike da preuzmu malver, koji za napadače krade korisn... Dalje

Pogodite ko se vratio: Pola godine nakon što je uklonjen sa svih računara u svetu, ''najopasniji malver'' je ponovo tu

Pogodite ko se vratio: Pola godine nakon što je uklonjen sa svih računara u svetu, ''najopasniji malver'' je ponovo tu

Zloglasni malver Emotet se vratio i ponovo je aktivan skoro deset meseci nakon što je međunarodna policijska operacija uspela da preuzme kontrolu i ... Dalje

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac BloodyStealer krade Epic Games i Steam naloge

Novi trojanac koji se prodaje na ruskim hakerskim forumima onima koji ga kupe nudi mogućnost krađe korisničkih naloga na popularnim servisima kao ... Dalje

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Opasni bankarski trojanac u Google oglasima u rezultatima pretrage

Ako na pretraživačima poput Googlea tražite softver TeamViewer mogli biste naleteti na linkove koji bi vas mogli odvesti do lažnih sajtova na koji... Dalje

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad prolazi neprimećena Appleovu XProtect odbranu od malvera

Nova varijanta malvera AdLoad provlači se kroz Appleovu ugrađenu antivirusnu tehnologiju XProtect i inficira Mac računare u okviru više kampanja k... Dalje