Trojanac Magala krišom klikće na oglase u rezultatima pretrage

Opisi virusa, 13.07.2017, 10:00 AM

Trojanac Magala krišom klikće na oglase u rezultatima pretrage

Zlatno doba trojanaca i virusa je davno prošlo vreme. Zlonamerni programi koje su pravili istraživači entuzijasti i oni za koje je to bila zabava su prošlost. Oni su zamenjeni programima koji se prave sa jednim jedinim ciljem - da zarade novac.

Ako ostavimo po strani ciljane napade koji su delo profesionalaca i koji imaju vrlo specifične ciljeve, najčešće vrste malvera o kojima danas slušamo jesu kripto-malveri i DDoS bot mreže sastavljene od IoT uređaja. Obe vrste pretnji su veoma profitabilne za sajber kriminalce i relativno se lako primenjuju. Ali one nisu jedine pretnje koje mogu da donesu zaradu sajber kriminalcima. Ne treba zanemariti ni vrlo brojnu porodicu graničnih malvera kojoj pripadaju reklamni botovi i moduli i partnerski programi koji se svi obično zovu potencijalno neželjeni programi (PUA/PUP). Oni su granični jer je tanka linija između klasifikovanja programa kao adware i definisanja istog programa kao trojanca.

Malver Magala na koga su upozorili istraživači kompanije Kaspersky Lab je upravo takav "otpadnik", koji je prešao granice "fer igre" kada je reč o oglašavanju.

Magala potpada pod kategoriju trojanca "clickera" koji imitiraju klikove korisnika na određenoj web stranici, čime se povećava broj klikova na oglase. Magala ne utiče na korisnike, osim što troši resurse inficiranog računara. Glavne žrtve su oni koji plaćaju reklame - obično je reč o vlasnicima malih firmi koji posluju sa beskrupuloznim oglašivačima.

Magala najpre proverava koja verzija Internet Explorera je instalirana na sistemu. Ako je u pitanju verzija 8 ili starije, trojanac se neće pokrenuti. Ako nađe željenu verziju browsera, pokreće se virtuelni desktop na kome se obavljaju sve dalje aktivnosti. Instalira se Maps Galaxy, toolbar koji menja početnu stranicu IE sa MyWay (hp.myway.com), endžin koji koristi Googeovu tehnologiju pretrage.

Trojanac zatim kontaktira komandno-kontrolni server (C&C server) sa koga preuzima tekstualni fajl koji sadrži listu sa rečima. Magala će ove reči tražiti preko MyWay web sajta koji je sada početna stranica Internet Explorera.

Kada se učitaju rezultati pretrage, Magala će kliknuti na prvih deset rezultata pretrage od kojih su neki promovisani oglasi. Magala sve ovo obavlja preko Windows IHTMLDocument2 interfejsa, mehanizma koji omogućava programima pristupanje web stranicama.

Magala zarađuje svaki put kada inficirani računar klikne na promovisane oglase.

"Koliko mi znamo, prosečna cena klika u kampanji kao što je ova je 0,07 dolara. Cena hiljadu klikova je 2,2 dolara", kaže Sergej Junakovski iz Kaspersky Laba. On je procenio da oni koji stoje iza ove kampanje mogu da zarade do 350 dolara od svakog inficiranog računara.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Ransomware GIBON se širi preko spam emailova

Ransomware GIBON se širi preko spam emailova

Istraživač iz firme ProofPoint Metju Mesa otkrio je prošle nedelje novi ransomware nazvan GIBON koji se trenutno širi preko spam emailova sa malic... Dalje

Novi trojanac Silence napada banke

Novi trojanac Silence napada banke

Stručnjaci Kaspersky Laba otkrili su novog trojanca koji služi kao pomoć u sajber pljačkama banaka u Rusiji, Jermeniji i Maleziji. Trojanac je naz... Dalje

Neke žrtve ransomwarea Bad Rabbit mogu spasiti svoje fajlove baz plaćanja otkupa

Neke žrtve ransomwarea Bad Rabbit mogu spasiti svoje fajlove baz plaćanja otkupa

Neke žrtve ransomwarea Bad Rabbit mogle bi spasiti svoje zarobljene fajlove zbog grešaka koje su napravili autori malvera. Greške su otkrili istra... Dalje

Novi ransomware Bad Rabbit hara Evropom

Novi ransomware Bad Rabbit hara Evropom

Novi ransomware nazvan Bad Rabbit se kao požar širi evropskim zemljama, u kojima napada računare kako u državnim institucijama, tako i u privatnim... Dalje

LokiBot: I trojanac i ransomware u jednom Android malveru

LokiBot: I trojanac i ransomware u jednom Android malveru

Stručnjaci iz SfyLabsa otkrili su novog Android bankarskog trojanca nazvanog LokiBt koji se pretvara u ransomware i zaključava telefone korisnika ka... Dalje