Trojanac Magala krišom klikće na oglase u rezultatima pretrage

Opisi virusa, 13.07.2017, 10:00 AM

Trojanac Magala krišom klikće na oglase u rezultatima pretrage

Zlatno doba trojanaca i virusa je davno prošlo vreme. Zlonamerni programi koje su pravili istraživači entuzijasti i oni za koje je to bila zabava su prošlost. Oni su zamenjeni programima koji se prave sa jednim jedinim ciljem - da zarade novac.

Ako ostavimo po strani ciljane napade koji su delo profesionalaca i koji imaju vrlo specifične ciljeve, najčešće vrste malvera o kojima danas slušamo jesu kripto-malveri i DDoS bot mreže sastavljene od IoT uređaja. Obe vrste pretnji su veoma profitabilne za sajber kriminalce i relativno se lako primenjuju. Ali one nisu jedine pretnje koje mogu da donesu zaradu sajber kriminalcima. Ne treba zanemariti ni vrlo brojnu porodicu graničnih malvera kojoj pripadaju reklamni botovi i moduli i partnerski programi koji se svi obično zovu potencijalno neželjeni programi (PUA/PUP). Oni su granični jer je tanka linija između klasifikovanja programa kao adware i definisanja istog programa kao trojanca.

Malver Magala na koga su upozorili istraživači kompanije Kaspersky Lab je upravo takav "otpadnik", koji je prešao granice "fer igre" kada je reč o oglašavanju.

Magala potpada pod kategoriju trojanca "clickera" koji imitiraju klikove korisnika na određenoj web stranici, čime se povećava broj klikova na oglase. Magala ne utiče na korisnike, osim što troši resurse inficiranog računara. Glavne žrtve su oni koji plaćaju reklame - obično je reč o vlasnicima malih firmi koji posluju sa beskrupuloznim oglašivačima.

Magala najpre proverava koja verzija Internet Explorera je instalirana na sistemu. Ako je u pitanju verzija 8 ili starije, trojanac se neće pokrenuti. Ako nađe željenu verziju browsera, pokreće se virtuelni desktop na kome se obavljaju sve dalje aktivnosti. Instalira se Maps Galaxy, toolbar koji menja početnu stranicu IE sa MyWay (hp.myway.com), endžin koji koristi Googeovu tehnologiju pretrage.

Trojanac zatim kontaktira komandno-kontrolni server (C&C server) sa koga preuzima tekstualni fajl koji sadrži listu sa rečima. Magala će ove reči tražiti preko MyWay web sajta koji je sada početna stranica Internet Explorera.

Kada se učitaju rezultati pretrage, Magala će kliknuti na prvih deset rezultata pretrage od kojih su neki promovisani oglasi. Magala sve ovo obavlja preko Windows IHTMLDocument2 interfejsa, mehanizma koji omogućava programima pristupanje web stranicama.

Magala zarađuje svaki put kada inficirani računar klikne na promovisane oglase.

"Koliko mi znamo, prosečna cena klika u kampanji kao što je ova je 0,07 dolara. Cena hiljadu klikova je 2,2 dolara", kaže Sergej Junakovski iz Kaspersky Laba. On je procenio da oni koji stoje iza ove kampanje mogu da zarade do 350 dolara od svakog inficiranog računara.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver Stresspaint krade Facebook lozinke

Malver Stresspaint krade Facebook lozinke

Stručnjaci firme Radware primetili su novi malver koji krade informacije - lozinke iz Chromea i kolačiće sesije. Malver izgleda da posebno nastoji... Dalje

Bankarski trojanac TrickBot sada može da zaključa ekran i ucenjuje žrtvu

Bankarski trojanac TrickBot sada može da zaključa ekran i ucenjuje žrtvu

Najnovijoj verziji bankarskog trojanca TrickBot dodata je komponenta koja zaključava ekran, što ukazuje na to da distributeri malvera uskoro mogu po... Dalje

50000 žrtava ransomwarea GandCrab, kriminalci za 2 meseca zaradili 600000 dolara

50000 žrtava ransomwarea GandCrab, kriminalci za 2 meseca zaradili 600000 dolara

Početkom meseca, rumunska policija i Europol zaplenili su komandno-kontrolne servere ransomwarea GandCrab, što im je omogućilo da dođu do ključev... Dalje

Prilex, malver koji klonira kreditne kartice

Prilex, malver koji klonira kreditne kartice

Istraživači kompanije Kaspersky Lab otkrili su da grupa odgovorna za nastanak PoS (point-of-sale) malvera Prilex, sada može da pretvara podatke sa ... Dalje

Slingshot: Špijun iz rutera

Slingshot: Špijun iz rutera

Istraživači kompanije Kaspersky Lab otkrili su sofisticirani malver koja se koristio za sajber špijunažu na Bliskom istoku i Africi, u periodu od ... Dalje