سرقت نتایج جست‌وجو توسط بدافزار Clickfraud

یک شبکه بات که توسط clickfraud کار می‌کند، ۹۰۰ هزار دستگاه را در سراسر دنیا گرفتار خود کرده ‌است. Clickfraud نوعی کلاهبرداری در اینترنت است که در تبلیغات پرداخت به ازای کلیک رخ می‌دهد. پرداخت به ازای کلیک یا PPC نام مدلی از تبلیغات اینترنتی است که در آن بازدیدکنندگان تبلیغات به وب‎گاه، اپلیکیشن موبایل و یا رسانه‌ای دیگر هدایت می‌شوند و تبلیغ‎کننده بر اساس تعداد کلیک‌ها و مراجعه به رسانه خود هزینه تبلیغات را پرداخت می‌کند. این روش در زمان خود نوآوری در صنعت تبلیغات اینترنتی محسوب می‌شد و به مرور جایگزین روش‌های سنتی تبلیغات بنری (مدت‌دار) و پرداخت به ازای تعداد نمایش شد. مدل‌های پیشرفته‌تر و پیچیده‌تری از پرداخت به ازای کلیک نیز هم‌اکنون در حال بهره‌برداری هستند که به عنوان مثال می‌تواند به پرداخت به ازای منجر شدن به خرید اشاره کرد.
در این نوع کلاهبرداری یک فرد، اسکریپت خودکار و یا برنامه رایانه‌ای خود را به جای کاربر واقعی جا می‌زند که در حال کلیک بر روی یک تبلیغ در مرورگر وب است.
بدافزار مذکور نتایج جست‌وجو را می دزد تا به مجرمان سایبری در سود مالی که از طریق برنامه Adsense گوگل بدست می‌آورند کمک کند.
بر اساس تحقیقات مؤسسه Bitdefender، بدافزاری که شبکه بات مذکور را پشتیبانی می‌کند Redirector.Paco‌ نام دارد و از سال ۲۰۱۴ که شکل گرفته تاکنون بیش از ۹۰۰ هزار دستگاه را آلوده‌ کرده‌ است.
بیشتر قربانیان در هندوستان بوده‌اند اما مواردی از آلودگی نیز در آمریکا، مالزی، یونان، ایتالیا، برزیل و چند کشور آفریقایی گزارش شده‌ است.
زمانی که آلودگی در دستگاه صورت می‌گیرد، بدافزار برخی تغییرات را در سامانه انجام می‌دهد تا نتایج موتورهای جست‌وجوی معروفی مانند گوگل، یاهو و بینگ با نتایج جست‌وجوی خاصی جایگزین شوند. بدین ترتیب مهاجمان اطمینان حاصل می‌کنند از تبلیغاتی که می‌خواهند سود مالی کسب می‌کنند.
اگرچه همیشه کلاهبرداران سایبری به دنبال راهی هستند تا کلاهبرداری شان تا حد ممکن طبیعی جلوه کند، برخی نشانه‌ها وجود دارد که کاربر را مشکوک می‌کند، مثلاً زمان بارگذاری صفحه افزایش می‌یابد، پیام‌های مرتبط با پراکسی در منوی وضعیت مرورگر نمایش داده می‌شوند یا اینکه حرف «O» در نمایش تعداد صفحات جست‌وجو نشان داده نمی‌شود.
مجرمان سایبری این بدافزار را از طریق اتصال آن به پرونده‎های نصب ‌برنامه‌های معروف مانند WinRAR و یا باگیری‎کننده یوتیوب منتقل می‌کنند. مهاجمان پرونده‎های مخربشان را با استفاده از ابزار نصب‌کننده پیشرفته به نصب‌کننده اصلی می‌افزایند.
در نسخه‌ای از این بدافزار که توسط Bitdefender بررسی شده‌است، نصب‌کننده‌های مخرب پرونده‎های جاوا اسکریپتی را استفاده می‌کنند تا در «کلید رجیستری» که در «تنظیمات اینترنت» وجود دارد مقادیر را تغییر دهند. بدین ترتیب مهاجم اطمینان حاصل می‌کند مرورگر ‌وب پرونده PAC مورد نظرش را بارگیری و استفاده می‌کند. وظیفه این پرونده PAC‌ این است که هر درخواستی برای جست‌وجو در گوگل به کارگزار خارجی متعلق به مهاجم تغییر مسیر دهد.
معمولاً در چنین شرایطی مرورگر یک هشدار امنیتی نشان می‌دهد که می‌گوید ارتباط HTTPS شکسته‌ شده ‌است. مجرمان سایبری برای مقابله با این مشکل گواهی ریشه‌ای را نصب می‌کنند که توسط Fiddler تهیه می‌شود. کار این گواهی که معمولاً توسط بدافزارها و تبلیغات‌افزارها مورد استفاده قرار می‌گیرد این است که اطمینان دهد قربانیان Redirector.Paco یک ارتباط HTTPS را مشاهده‌ می‌کنند و مرورگر هشداری را نمایش نمی‌دهد.
پرونده جاوا اسکریپتی که توسط این بدافزار استفاده می‌شود در قالب پرونده‎های TXT ،PDF و یا INI مخفی می‌شود. در برخی موارد این پرونده حتی به بخش‌هایی شکسته شده و در مکان‌ّهای تصادفی در پرونده تنظیمات قرار داده‌ می‌شود.
نوع دیگری از حمله Redirector.Paco بر .NET استوار است. این نوع بدافزار نتایج جست‌وجو را به صورت محلی و بدون کارگزار خارجی تغییر می‌دهد. در این حملات، بدافزار مذکور یک کارگزار محلی نصب می‌کند و حمله مرد میانی را ترتیب می‌دهد. در این‌جا پرونده PAC از کارگزار HTTP‌ گرفته‌ می‌شود و گواهی‌های Fiddler باز هم برای اجتناب از هشدارهای HTTPS‌ استفاده می‌شوند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.