Σύμφωνα με τους εμπειρογνώμονες ασφάλειας ένα HTTPS hijacking click-fraud botnet με το όνομα Redirector.Paco μόλυνε σχεδόν 1 εκατομμύριο συσκευές μέχρι στιγμής.
ήδη μεγάλη ειδησεογραφική ιστοσελίδα με υψηλή επισκεψιμότητα (εντός των 5 μεγαλύτερων στην Ελλάδα) έχει πέσει θύμα εξελιγμένης έκδοσης του Redirector.Paco και ήδη “σερβίρει” κακόβουλο λογισμικό και ransomware σε ανυποψίαστους χρήστες.
Οι εμπειρογνώμονες σε θέματα ασφάλειας τηςBitdefender αρχικά εντόπισαν ένα νέο click fraud botnet με το όνομα Redirector.Paco που υπάρχει τουλάχιστον από το Σεπτέμβριο του 2014 και έχει ήδη μολύνει πάνω από 900.000 συσκευές όλο αυτό τον καιρό.
Οι απατεώνες πίσω από το Redirector.Paco είχαν ως στόχο να δημιουργήσουν ένα clickbot που είναι σε θέση να ανακατευθύνει όλη την διαδικτυακή κίνηση που πραγματοποιείται όταν χρησιμοποιείται μια μηχανή αναζήτησης (για παράδειγμα, οι Google, Yahoo ή Bing) και να αντικαθιστά τα νόμιμα αποτελέσματα με άλλα που αποφασίζονται από τους χάκερ για να κερδίσουν χρήματα από το γνωστό πρόγραμμα διαφημίσεων AdSense.
«Για να ανακατευθύνει την κυκλοφορία το κακόβουλο λογισμικό “πειράζει” λίγο τη registry. Τροποποιεί τα “AutoConfigURL” και “AutoConfigProxy” από τo registry key στο “Ρυθμίσεις Internet” έτσι ώστε για κάθε αίτηση που κάνει ένας χρήστης, ένα PAC (Proxy auto-config) αρχείο θα ερωτάται. Αυτό το αρχείο θα ορίζει στον browser που ακριβώς να ανακατευθύνει την κίνηση σε μια διαφορετική διεύθυνση.», αναφέρει σε ανακοίνωσή της η BitDefender.
Οι εμπειρογνώμονες υπογράμμισαν την ύπαρξη ορισμένων ιχνών που θα μπορούσαν να συνδέονται με την παράνομη δραστηριότητα του botnet, συμπεριλαμβανομένων των:
Εμφάνιση μηνυμάτων όπως “Waiting for proxy tunnel” or “Downloading proxy script” στη γραμμή κατάστασης του browser.
Μεγάλος χρόνος φόρτωσης για τη σελίδα της Google.
Η έλλειψη χαρακτήρων πάνω από τον αριθμό των σελίδων αποτελεσμάτων αναζήτησης.
Το σύνολο του κακόβουλου λογισμικού πίσω από το Redirector.Paco botnet, ομαδοποιήθηκε με installers για γνωστές εφαρμογές, όπως το WinRAR και το YouTube Downloader.
Σε μία από τις επιθέσεις που εντοπίστηκε , οι installers περιείχαν αρχεία JavaScript που τροποποιούν το registry key του “Internet Settings” για να αλλάξουν τη συμπεριφορά του προγράμματος περιήγησης web και να το αναγκάσουν να χρησιμοποιήσει ένα proxy auto-configuration (PAC) αρχείο που δημιουργήθηκε από τον εισβολέα ώστε να παρέχει ψεύτικα αποτελέσματα αναζήτησης. Οι επιτιθέμενοι βασίζονται επίσης σε ένα root πιστοποιητικό, έτσι ώστε οποιαδήποτε σύνδεση που περνά από τον server τους και καθορίζεται στο PAC αρχείο να φαίνεται ιδιωτική (κρυπτογραφημένη) χωρίς να κινεί τις παραμικρές υποψίες από τους χρήστες.
Οι περισσότερες μολυσμένες συσκευές βρίσκονται στην Ινδία, αλλά οι ειδικοί παρατήρησαν υψηλό αριθμό μολύνσεων στις Ηνωμένες Πολιτείες, τη Μαλαισία, την Ελλάδα, την Ιταλία, τη Βραζιλία και άλλες Αφρικανικές χώρες.
