Международная антивирусная компания Eset сообщила о возросшей активности трояна Boaxxe, который заражает русскоязычных пользователей, перенаправляя их на рекламные сайты.
Как говорится в заявлении Eset, поступившем в редакцию CNews, Win32/Boaxxe.BE представляет собой семейство вредоносных программ, используемых киберпреступниками для перенаправления пользователя на рекламные сайты ради получения платы от рекламодателя (эта схема называется «кликфрод»).
Данная программа попадает в систему через вредоносные ссылки, которые активно распространяются на сомнительных или зараженных сайтах, а также через спам-рассылки. С сентября 2013 г. троян Boaxxe распространяется силами участников одной из мошеннических партнерских программ (так называемых «партнерок») в русскоязычном сегменте сети. За последние четыре месяца, в течение которых эксперты Eset отслеживали активность Boaxxe, к данной партнерской программе присоединились более сорока новых участников.
Согласно проанализированной статистике, за два месяца один из участников заразил трояном Boaxxe свыше 3300 устройств. Если экстраполировать эти данные, то получается, что лишь за счет сорока новых «партнеров» заражению подверглись не менее 100 тыс. пользователей.
Троян Boaxxe реализует два типа кликфрода — автоматический и инициированный пользователем. В первом случае клики на рекламные ссылки автоматически генерируются без ведома и участия пользователя, в течение всего времени работы зараженной системы. Во втором случае переход по рекламной ссылке инициирует сам пользователь — он вводит поисковый запрос в одну из легальных поисковых систем, после чего троян подставляет в результаты выдачи рекламные сайты вместо искомых, рассказали в Eset.
При автоматическом кликфроде прибыль злоумышленников значительно выше — согласно статистике активности вышеупомянутого участника партнерки, за два месяца его прибыль составила $200 за автоматический кликфрод и всего $50 за обычный, инициированный пользователем.
На данный момент заинтересованность киберпреступников в Boaxxe подтверждается увеличением числа источников его распространения, отметили в компании. Пиковая активность, представленная на графике, соответствует активности некоторых участников партнерской программы. Так, один из них перед Новым годом запустил масштабную спам-кампанию для широкого распространения трояна.
В Eset также отметили осторожное поведение Boaxxe в захваченной системе — программа использует различные механизмы внедрения и заражения, в зависимости от используемого браузера, а также умеет скрываться от антивирусных сканеров.
Кроме того, троян избегает обнаружения самим пользователем. Так, когда пользователь выполняет поисковый запрос с использованием ключевого слова, Win32/Boaxxe.BE отправляет это слово в собственную поисковую систему, которая возвращает список подходящих рекламных сайтов, ссылки на которые и подставляются в поисковую выдачу.
При нажатии на такую ссылку пользователь не успевает увидеть легальную страницу, на которую он кликнул. Вместо этого троян сразу перенаправляет его на одну из рекламных страниц, которые более-менее соотносятся с изначальным запросом.
Также примечательно, что при отсутствии рекламных сайтов, относящихся к данному ключевому слову, перенаправление не выполняется. Если в поисковой выдаче показываются ссылки на такие сервисы, как Wikipedia, Facebook или Twitter, содержание которых, скорее всего, хорошо знакомо пользователю, перенаправление также не будет осуществляться. В итоге жертва Boaxxe может месяцами пополнять карманы злоумышленников и даже не подозревать об этом.