Эксперты Google AdSense выявили крупный ботнет, накручивающий показы и скликивающий рекламу Google AdSense в автоматическом режиме. Боты для накрутки показов и скликивания рекламы также использовались для скрытых просмотры стримов Twitch и генерации фальшивых лайков на YouTube.
Исследователи пишут, что основными целями этого бота скликивания рекламы и накрутки показов являются такие браузеры, как Google Chrome, Mozilla Firefox и Яндекс.Браузер, работающие на Windows-машинах. Именно они образуют костяк ботнета скликивания рекламы. Сообщается, что только за последние три месяца через этот ботнет прошло более 1 млрд рекламных объявлений. При средней цене за 1000 показов объявлений в $1 прибыль владельцев рекламного бота могла составить не менее $1.000.000 за весь активный период.
Снаряжение и прогрузка бота на целевой машине или смартфоне начинается с использования модуля Installer, который установит и сконфигурирует скликивающее расширение для браузера, а также обеспечит постоянное присутствие в системе, создав запланированную задачу (рекламный бот притворится Windows Update).
Затем другой модуль рекламного бота, Finder, начнет собирать в заряженой системе файлы cookie и учетные данные, отправляя их своим операторам в формате ZIP-архивов. Также этот модуль будет поддерживать связь с вторичным управляющим сервером, который передает команды малвари и сообщает, с какой частотой нужно собирать и похищать данные из зараженных систем.
Третий модуль, Patcher, использовался в ранней версии ботнета для установки расширения скликивания и накрутки рекламы, но в последних версиях уже был включен в состав модуля Installer.
После успешной компрометации браузера, расширение немедленно приступит к работе, начнет внедрять рекламу на сайты и генерировать скрытый для пользователя трафик (к примеру, будет в фоновом режиме «смотреть» стримы Twitch или лайкать видео на YouTube).
Интересно, что внедрение рекламы происходит не на всех сайтах, которые посещает владелец заряженного компьютера или смартфона. Так, рекламный бот имеет обширные «черные списки», в которые входят домены Google, различные российские ресурсы и порно-сайты.
По информации Google adWare, данная кампания по скликиванию контекстной рекламы в основном сосредоточена на нескольких странах на постсоветском пространстве, включая Россию, Украину и Казахстан, однако после отклчения монетизации YouTube в России, активность adWare бота сместилась на демократичные и цивилизованные страны Евросоюза.
Добавить комментарий