سرقت نتایج جست‌وجو توسط بدافزار Clickfraud

به گزارش واحد امنیت سایبربان؛ Clickfraud نوعی کلاه‌برداری در اینترنت است که در تبلیغات پرداخت به ازای کلیک رخ می‌دهد. پرداخت به ازای کلیک یا PPC نام مدلی از تبلیغات اینترنتی است که در آن بازدیدکنندگان تبلیغات به وب‎گاه، اپلیکیشن موبایل و یا رسانه‌ای دیگر هدایت می‌شوند و تبلیغ‎کننده بر اساس تعداد کلیک‌ها و مراجعه به رسانه خود هزینه تبلیغات را پرداخت می‌کند. این روش در زمان خود نوآوری در صنعت تبلیغات اینترنتی محسوب می‌شد و به‌مرور جایگزین روش‌های سنتی تبلیغات بنری (مدت‌دار) و پرداخت به ازای تعداد نمایش شد. مدل‌های پیشرفته‌تر و پیچیده‌تری از پرداخت به ازای کلیک نیز هم‌اکنون در حال بهره‌برداری هستند که به‌عنوان‌مثال می‌تواند به پرداخت به ازای منجر شدن به خرید اشاره کرد.

در این نوع کلاه‌برداری یک فرد، اسکریپت خودکار و یا برنامه رایانه‌ای خود را به‌جای کاربر واقعی جا می‌زند که در حال کلیک بر روی یک تبلیغ در مرورگر وب است.

بدافزار مذکور نتایج جست‌وجو را می دزد تا به مجرمان سایبری در سود مالی که از طریق برنامه Adsense گوگل به دست می‌آورند کمک کند.

بر اساس تحقیقات مؤسسه Bitdefender، بدافزاری که شبکه بات مذکور را پشتیبانی می‌کند Redirector.Paco‌ نام دارد و از سال ۲۰۱۴ که شکل‌گرفته تاکنون بیش از ۹۰۰ هزار دستگاه را آلوده‌ کرده‌ است.

 بیشتر قربانیان در هندوستان بوده‌اند اما مواردی از آلودگی نیز در آمریکا، مالزی، یونان، ایتالیا، برزیل و چند کشور آفریقایی گزارش‌شده‌ است.

زمانی که آلودگی در دستگاه صورت می‌گیرد، بدافزار برخی تغییرات را در سامانه انجام می‌دهد تا نتایج موتورهای جست‌وجوی معروفی مانند گوگل، یاهو و بینگ با نتایج جست‌وجوی خاصی جایگزین شوند. بدین ترتیب مهاجمان اطمینان حاصل می‌کنند از تبلیغاتی که می‌خواهند سود مالی کسب می‌کنند.

اگرچه همیشه کلاه‌برداران سایبری به دنبال راهی هستند تا کلاه‌برداری‌شان تا حد ممکن طبیعی جلوه کند، برخی نشانه‌ها وجود دارد که کاربر را مشکوک می‌کند، مثلاً زمان بارگذاری صفحه افزایش می‌یابد، پیام‌های مرتبط با پراکسی در منوی وضعیت مرورگر نمایش داده می‌شوند یا اینکه حرف «O» در نمایش تعداد صفحات جست‌وجو نشان داده نمی‌شود.

مجرمان سایبری این بدافزار را از طریق اتصال آن به پرونده‎های نصب ‌برنامه‌های معروف مانند WinRAR و یا باگیری‎کننده یوتیوب منتقل می‌کنند. مهاجمان پرونده‎های مخربشان را با استفاده از ابزار نصب کننده پیشرفته به نصب کننده اصلی می‌افزایند.

در نسخه‌ای از این بدافزار که توسط Bitdefender بررسی‌شده است، نصب کننده‌های مخرب پرونده‎های جاوا اسکریپتی را استفاده می‌کنند تا در «کلید رجیستری» که در «تنظیمات اینترنت» وجود دارد مقادیر را تغییر دهند. بدین ترتیب مهاجم اطمینان حاصل می‌کند مرورگر ‌وب پرونده PAC موردنظرش را بارگیری و استفاده می‌کند. وظیفه این پرونده  PAC‌ این است که هر درخواستی برای جست‌وجو در گوگل به کارگزار خارجی متعلق به  مهاجم تغییر مسیر دهد.

معمولاً در چنین شرایطی مرورگر یک هشدار امنیتی نشان می‌دهد که می‌گوید ارتباط HTTPS شکسته‌ شده ‌است. مجرمان سایبری برای مقابله با این مشکل گواهی ریشه‌ای را نصب می‌کنند که توسط Fiddler تهیه می‌شود. کار این گواهی که معمولاً توسط بدافزارها و تبلیغات افزارها مورداستفاده قرار می‌گیرد این است که اطمینان دهد قربانیان Redirector.Paco یک ارتباط HTTPS را مشاهده‌ می‌کنند و مرورگر هشداری را نمایش نمی‌دهد.

پرونده جاوا اسکریپتی که توسط این بدافزار استفاده می‌شود در قالب پرونده‎های TXT،PDF و یا INI مخفی می‌شود. در برخی موارد این پرونده حتی به بخش‌هایی شکسته شده و در مکان‌های تصادفی در پرونده تنظیمات قرار داده‌ می‌شود.

نوع دیگری از حمله Redirector.Paco بر.NET استوار است. این نوع بدافزار نتایج جست‌وجو را به‌صورت محلی و بدون کارگزار خارجی تغییر می‌دهد. در این حملات، بدافزار مذکور یک کارگزار محلی نصب می‌کند و حمله مردمیانی را ترتیب می‌دهد. در اینجا پرونده PAC از کارگزار HTTP‌ گرفته‌ می‌شود و گواهی‌های Fiddler بازهم برای اجتناب از هشدارهای HTTPS‌ استفاده می‌شوند.