Trojanac Magala krišom klikće na oglase u rezultatima pretrage

Opisi virusa, 13.07.2017, 10:00 AM

Trojanac Magala krišom klikće na oglase u rezultatima pretrage

Zlatno doba trojanaca i virusa je davno prošlo vreme. Zlonamerni programi koje su pravili istraživači entuzijasti i oni za koje je to bila zabava su prošlost. Oni su zamenjeni programima koji se prave sa jednim jedinim ciljem - da zarade novac.

Ako ostavimo po strani ciljane napade koji su delo profesionalaca i koji imaju vrlo specifične ciljeve, najčešće vrste malvera o kojima danas slušamo jesu kripto-malveri i DDoS bot mreže sastavljene od IoT uređaja. Obe vrste pretnji su veoma profitabilne za sajber kriminalce i relativno se lako primenjuju. Ali one nisu jedine pretnje koje mogu da donesu zaradu sajber kriminalcima. Ne treba zanemariti ni vrlo brojnu porodicu graničnih malvera kojoj pripadaju reklamni botovi i moduli i partnerski programi koji se svi obično zovu potencijalno neželjeni programi (PUA/PUP). Oni su granični jer je tanka linija između klasifikovanja programa kao adware i definisanja istog programa kao trojanca.

Malver Magala na koga su upozorili istraživači kompanije Kaspersky Lab je upravo takav "otpadnik", koji je prešao granice "fer igre" kada je reč o oglašavanju.

Magala potpada pod kategoriju trojanca "clickera" koji imitiraju klikove korisnika na određenoj web stranici, čime se povećava broj klikova na oglase. Magala ne utiče na korisnike, osim što troši resurse inficiranog računara. Glavne žrtve su oni koji plaćaju reklame - obično je reč o vlasnicima malih firmi koji posluju sa beskrupuloznim oglašivačima.

Magala najpre proverava koja verzija Internet Explorera je instalirana na sistemu. Ako je u pitanju verzija 8 ili starije, trojanac se neće pokrenuti. Ako nađe željenu verziju browsera, pokreće se virtuelni desktop na kome se obavljaju sve dalje aktivnosti. Instalira se Maps Galaxy, toolbar koji menja početnu stranicu IE sa MyWay (hp.myway.com), endžin koji koristi Googeovu tehnologiju pretrage.

Trojanac zatim kontaktira komandno-kontrolni server (C&C server) sa koga preuzima tekstualni fajl koji sadrži listu sa rečima. Magala će ove reči tražiti preko MyWay web sajta koji je sada početna stranica Internet Explorera.

Kada se učitaju rezultati pretrage, Magala će kliknuti na prvih deset rezultata pretrage od kojih su neki promovisani oglasi. Magala sve ovo obavlja preko Windows IHTMLDocument2 interfejsa, mehanizma koji omogućava programima pristupanje web stranicama.

Magala zarađuje svaki put kada inficirani računar klikne na promovisane oglase.

"Koliko mi znamo, prosečna cena klika u kampanji kao što je ova je 0,07 dolara. Cena hiljadu klikova je 2,2 dolara", kaže Sergej Junakovski iz Kaspersky Laba. On je procenio da oni koji stoje iza ove kampanje mogu da zarade do 350 dolara od svakog inficiranog računara.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi malver nazvan ''Korona virus'' zaključava Windows

Novi malver nazvan ''Korona virus'' zaključava Windows

Budući da su škole zatvorene zbog pandemije, neka deca se zabavljaju pravljenjem malvera. Takav je slučaj sa različitim novim verzijama MBRLocker... Dalje

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Sajber-kriminalci koji stoje iza malvera TrickBot koriste Aandroid aplikaciju koju su napravili da bi zaobišli dvofaktornu (2FA) zaštitu koju korist... Dalje

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Nova ransomware nazvan CoronaVirus širi se preko lažnog web sajta koji reklamira softver za optimizaciju sistema i druge programe WiseCleanera. Sajb... Dalje

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Bankarski trojanac Cerberus je nadograđen i sada može da krade kodove Google Authenticatora za dvofaktornu autentifikaciju (2FA) koja se koristi kao... Dalje

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Zloglasni trojanac Emotet koji stoji iza brojnih spam kampanja i napada ransomwarea, sada ima novi način napada: koristi već zaražene uređaje za ... Dalje