Σύμφωνα με τους εμπειρογνώμονες ασφάλειας ένα HTTPS hijacking click-fraud botnet με το όνομα Redirector.Paco μόλυνε σχεδόν 1 εκατομμύριο συσκευές μέχρι στιγμής.
ΑΠΟΚΛΕΙΣΤΙΚΕΣ Πληροφορίες που έφτασαν σε συντάκτες του SecNews αναφέρουν ότι ήδη μεγάλη ειδησεογραφική ιστοσελίδα με υψηλή επισκεψιμότητα (εντός των 5 μεγαλύτερων στην Ελλάδα) έχει πέσει θύμα εξελιγμένης έκδοσης του Redirector.Paco και ήδη “σερβίρει” κακόβουλο λογισμικό και ransomware σε ανυποψίαστους χρήστες.
Οι εμπειρογνώμονες σε θέματα ασφάλειας της Bitdefender αρχικά εντόπισαν ένα νέο click fraud botnet με το όνομα Redirector.Paco που υπάρχει τουλάχιστον από το Σεπτέμβριο του 2014 και έχει ήδη μολύνει πάνω από 900.000 συσκευές όλο αυτό τον καιρό.
Οι απατεώνες πίσω από το Redirector.Paco είχαν ως στόχο να δημιουργήσουν ένα clickbot που είναι σε θέση να ανακατευθύνει όλη την διαδικτυακή κίνηση που πραγματοποιείται όταν χρησιμοποιείται μια μηχανή αναζήτησης (για παράδειγμα, οι Google, Yahoo ή Bing) και να αντικαθιστά τα νόμιμα αποτελέσματα με άλλα που αποφασίζονται από τους χάκερ για να κερδίσουν χρήματα από το γνωστό πρόγραμμα διαφημίσεων AdSense.
«Για να ανακατευθύνει την κυκλοφορία το κακόβουλο λογισμικό “πειράζει” λίγο τη registry. Τροποποιεί τα “AutoConfigURL” και “AutoConfigProxy” από τo registry key στο “Ρυθμίσεις Internet” έτσι ώστε για κάθε αίτηση που κάνει ένας χρήστης, ένα PAC (Proxy auto-config) αρχείο θα ερωτάται. Αυτό το αρχείο θα ορίζει στον browser που ακριβώς να ανακατευθύνει την κίνηση σε μια διαφορετική διεύθυνση.», αναφέρει σε ανακοίνωσή της η BitDefender.
Οι εμπειρογνώμονες υπογράμμισαν την ύπαρξη ορισμένων ιχνών που θα μπορούσαν να συνδέονται με την παράνομη δραστηριότητα του botnet, συμπεριλαμβανομένων των:
- Εμφάνιση μηνυμάτων όπως “Waiting for proxy tunnel” or “Downloading proxy script” στη γραμμή κατάστασης του browser.
- Μεγάλος χρόνος φόρτωσης για τη σελίδα της Google.
- Η έλλειψη χαρακτήρων πάνω από τον αριθμό των σελίδων αποτελεσμάτων αναζήτησης.
Το σύνολο του κακόβουλου λογισμικού πίσω από το Redirector.Paco botnet, ομαδοποιήθηκε με installers για γνωστές εφαρμογές, όπως το WinRAR και το YouTube Downloader.
Σε μία από τις επιθέσεις που εντοπίστηκε , οι installers περιείχαν αρχεία JavaScript που τροποποιούν το registry key του “Internet Settings” για να αλλάξουν τη συμπεριφορά του προγράμματος περιήγησης web και να το αναγκάσουν να χρησιμοποιήσει ένα proxy auto-configuration (PAC) αρχείο που δημιουργήθηκε από τον εισβολέα ώστε να παρέχει ψεύτικα αποτελέσματα αναζήτησης. Οι επιτιθέμενοι βασίζονται επίσης σε ένα root πιστοποιητικό, έτσι ώστε οποιαδήποτε σύνδεση που περνά από τον server τους και καθορίζεται στο PAC αρχείο να φαίνεται ιδιωτική (κρυπτογραφημένη) χωρίς να κινεί τις παραμικρές υποψίες από τους χρήστες.
«Όπως φαίνεται, κάθε αίτηση σε οποιαδήποτε σελίδα που ξεκινά με https://www.google ή https://cse.google θα μεταφέρεται στην IP 93.*.*.240 στη θύρα 8484. Ωστόσο, σε αυτό το σημείο, ο έμπειρος χρήστης θα παρατηρήσει ότι θα συνοδεύονται η περιήγηση από μια προειδοποίηση που ενημερώνει το χρήστη ότι υπάρχει πρόβλημα με το πιστοποιητικό.»
Οι εμπειρογνώμονες εντόπισαν και μια παραλλαγή του Redirector.Paco botnet που βασίζεται σε ένα .NET που επίσης τροποποιεί τα αποτελέσματα αναζήτησης σε τοπικό επίπεδο, με τη δημιουργία ενός τοπικού διακομιστή χωρίς ανακατεύθυνση της κυκλοφορίας σε έναν εξωτερικό διακομιστή.
Οι περισσότερες μολυσμένες συσκευές βρίσκονται στην Ινδία, αλλά οι ειδικοί παρατήρησαν υψηλό αριθμό μολύνσεων στις Ηνωμένες Πολιτείες, τη Μαλαισία, την Ελλάδα, την Ιταλία, τη Βραζιλία και άλλες Αφρικανικές χώρες.
Ήδη Έλληνες χρήστες έχουν προσβληθεί από το συγκεκριμένο κακόβουλο λογισμικό και οι υπολογιστές τους χρησιμοποιούνται από επίδοξες κυβερνοσυμμορίες για να αντλούν χρηματικά πόσα μέσω των διαφημιστικών καταχωρήσεων της Google. Το SecNews καλεί τους αναγνώστες του να ελέγξουν τα παραπάνω χαρακτηριστικά στους υπολογιστές και να σαρώσουν με ανανεωμένα antivirus ΑΜΕΣΑ για ίχνη του συγκεκριμένου botnet!
