Ερευνητές του Flashpoint, ανακάλυψαν ένα μεγάλο διαφημιστικό framework, το οποίο παρασιτεί στο Google AdSense ads. Οι ερευνητές δήλωσαν ότι οι κύριοι στόχοι των επιτιθέμενων είναι προγράμματα περιήγησης όπως τα Google Chrome, Mozilla Firefox και Yandex Browser, που εκτελούνται σε υπολογιστές με Windows και αποτελούν τη βάση του botnet. Όπως αναφέρουν οι ερευνητές τους τελευταίους τρεις μήνες, έχουν περάσει πάνω από 1 δισεκατομμύριο διαφημίσεις μέσω αυτού του framework.
Η μόλυνση του μηχανήματος του θύματος ξεκινά με τη χρήση της ενότητας Installer, η οποία θα εγκαταστήσει και θα διαμορφώσει μια κακόβουλη επέκταση του προγράμματος περιήγησης, καθώς επίσης θα διασφαλίσει τη συνεχή παρουσία του στο σύστημα, δημιουργώντας μια προγραμματισμένη εργασία (το κακόβουλο λογισμικό θα προσποιείται ότι είναι το Windows Update).
Στη συνέχεια, μια άλλη ενότητα framework, το Finder, αρχίζει να συλλέγει τα cookies και τα διαπιστευτήρια από το μολυσμένο σύστημα, στέλνοντάς τα στους κακόβουλους παράγοντες, με τη μορφή ZIP αρχείων. Επιπλέον, αυτή η ενότητα θα επικοινωνεί με τον δευτερεύοντα διακομιστή διαχείρισης, ο οποίος μεταδίδει εντολές και αναφορές κακόβουλου λογισμικού σχετικά με το ποια συχνότητα είναι απαραίτητη για τη συλλογή και κλοπή δεδομένων από μολυσμένα συστήματα.
Στη συνέχεια, το Patcher, το οποίο χρησιμοποιήθηκε σε μια παλαιότερη έκδοση του framework για την εγκατάσταση μιας κακόβουλης επέκτασης, έχει αποκτήσει νέες εκδόσεις που περιλαμβάνονται ήδη στη λειτουργική μονάδα Installer.
Μόλις το πρόγραμμα περιήγησης μολυνθεί με επιτυχία, η επέκταση θα αρχίσει αμέσως να λειτουργεί, ενσωματώνοντας διαφημίσεις στους ιστότοπους και δημιουργώντας ροή δεδομένων που είναι κρυφή για τον χρήστη (για παράδειγμα, θα παρακολουθήσει ροές Twitch στο παρασκήνιο ή παρόμοια βίντεο στο YouTube).
Ένα ενδιαφέρον στοιχείο είναι ότι η εισαγωγή των διαφημίσεων δεν εμφανίζεται σε όλους τους ιστότοπους που επισκέπτεται το θύμα. Αυτό σημαίνει ότι το κακόβουλο λογισμικό έχει εκτεταμένες “μαύρες λίστες”, οι οποίες περιλαμβάνουν τομείς στο Google, διάφορους Ρώσικους ιστότοπους και ιστότοπους πορνογραφικού περιεχομένου.
Σύμφωνα με το Flashpoint, αυτή η εκστρατεία επικεντρώνεται κυρίως σε χώρες όπως η Ρωσία, η Ουκρανία και το Καζακστάν.
