Nuova botnet per Clickfraud infetta quasi un milione di computer

 

Proto: N030516.

 

Con la presente Yoroi desidera comunicarLe che è stata recentemente resa nota una infezione botnet che ha colpito quasi un milione di macchine in tutto il mondo con lo scopo di abusare, attraverso Trojan come Redirector.Paco, dei servizi di advertising offerti da Google per mettere le mani su una fetta degli investimenti pubblicitari fatti dalle aziende che si affidano al colosso dell’informatica per le proprie campagne marketing. 
Nonostante il maggior numero di infezioni, circa il 10%, si sia sviluppato in India si rileva anche in Italia un elevato numero di macchine colpite, circa 30.000. Altri paesi colpiti sono Stati Uniti, Grecia, Malesia, Pakistan, Brasile e Algeria.


Diffusione di Redirector.Paco da settembre 2014 (Source: https://labs.bitdefender.com)


Lo scopo di Redirector.Paco è quello di trasferire tutto il traffico degli utenti che visitano il motore di ricerca Google su domini che offrono servizi Google custom search (pagine di ricerca Google personalizzate) in modo da visualizzare campagne pubblicitarie personalizzate e permettere ai cyber-criminali di guadagnare denaro attraverso i servizi Google AdSense for Search (AFS).
Le pagine create dai malviventi riproducono molto fedelmente la pagina di ricerca originale di Google, fa eccezione soltanto l’assenza della “o” gialla sopra i numeri di pagina dei risultati della ricerca.
Altri sintomi di questo tipo di infezione sono un forte rallentamento del caricamento delle pagine di ricerca e la visualizzazione durante il caricamento di alcuni messaggi come “In attesa del tunnel proxy” o “Scaricamento script proxy”.

Redirector.Paco va a modificare, attraverso l’esecuzione di file WScript scaricati nel sistema, i seguenti valori nella chiave di registro “Internet Settings“:

  • AutoConfigURL: Valore utilizzato per indicare l’url da cui scaricare il file PAC (Proxy Auto-Config) per la configurazione del redirect
  • AutoConfigProxy: Valore utilizzato per indicare la libreria da utilizzare le funzionalità proxy
  • EnableAutoProxyResultCache: Valore utilizzato per disabilitare la cache per i PAC file

In alcune varianti di Redirector.Paco questi script sono stati trovati nascosti in file di tipologia differente quali Documenti PDF o configurazioni INI.


Esempio di codice WScript (in rosso) nascosto in un documento PDF (Source: https://labs.bitdefender.com)


A questo punto il malware ha già configurato la macchina della vittima in modo da trasferire tutto il traffico verso le pagine di ricerca personalizzate ma gli utenti verranno notificati dal browser che segnala un certificato non valido con un messaggio come quello che segue:


Esempio di avviso di certificato non valido sul browser Google Chrome (Source: https://labs.bitdefender.com)


Per risolvere questo problema Redirector.Paco inserisce tra i certificati autorizzati dal sistema il certificato generato per i domini che ospitano le pagine di ricerca personalizzate.
Il risultato è una pagina apparentemente identica a quella offerta dal dominio Google ufficiale, con la sola differenza che il certificato è stato rilasciato dalla Certification Authority DO_NOT_TRUST_FiddlerRoot.


Informazioni sul certificato verificato da DO_NOT_TRUST_FiddlerRoot (Source: https://labs.bitdefender.com)


Redirector.Paco viene diffuso in due forme particolari:

  • installer MSI modificato di programmi noti come “WinRAR 5.2 msi”, “WinRAR 5.11”, “YouTube Downloader 1.0.1”, “WinRAR 5.11 Final”, “”Connectify 1.0.1”, “Stardock Start8 1.0.1”, “KMSPico 9.3.3”
  • applicazione .NET in formato .exe

Nel primo caso le informazioni per la configurazione delle chiavi ed il certificato da autorizzare vengono scaricati andando a leggere il record TXT del dominio di un server esterno.
Nel secondo caso le informazioni sono contenute direttamente nell’applicazione che crea un server locale che utilizza il certificato autorizzato.

Yoroi suggerisce di mantenere alto il livello di guardia all’interno della vostra organizzazione, di dotare le vostre organizzazioni di strumenti di sicurezza perimetrali opportuni e moderni come Next Generation Firewall, Next Generation IPS e IDS, di monitorare attivamente lo stato di sicurezza degli asset aziendali attraverso servizi di monitoraggio come MAMP (Managed Advanced Malware Protection).



Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index