Зомби-сети накручивают посещаемость сайтов и приносят владельцам по 2 тысячи долларов в сутки

Эксперты пришли к такому выводу, подробно изучив «рекламный» ботнет Artro, боты которого детектируются продуктами «Лаборатории Касперского» как Trojan-Downloader.Win32.CodecPack. По информации антивирусной компании, ботнет существует как минимум 2,5 года, однако до сих пор отсутствует полное описание его функционала.

Как известно, многие сайты, заинтересованные в увеличении посещаемости своих ресурсов, пользуются услугами рекламных сетей, которые, в свою очередь, в качестве вознаграждения получают определенную сумму за каждого перенаправленного пользователя. Однако часто рекламодатели не подозревают о том, что некоторые недобросовестные посредники вместо новых пользователей «подсылают» на их ресурсы ботов.

Владельцы ботнетов и рекламные сети при этом зарабатывают неплохие деньги, а наивные рекламодатели тратят бюджеты на псевдо-пользователей — платя за реальные переходы на собственный сайт, он получает исключительно виртуальных посетителей. При этом гибкая настройка частоты кликов для ботов позволяет имитировать поведение настоящих пользователей.

Сопоставив количество кликов за сутки, совершаемых ботами и среднюю стоимость одного перехода, взимаемую рекламными сервисами, а также оценив вероятную долю владельцев ботнета от продажи трафика, авторы исследования «Лаборатории Касперского» подсчитали, что примерный доход злоумышленников составляет 1-2 тысячи долларов сутки — это только за счет обмана рекламодателей. Помимо этого, киберпреступники могут зарабатывать на загрузках сторонних вредоносных программ. Однако оценить доходность данного вида преступного бизнеса практически невозможно, сообщается в исследовании.

Рекламные ботнеты появились не вчера — первый образец CodecPack был обнаружен «Лабораторией Касперского» еще летом 2008 года. В дальнейшем он получил широкое распространение — в январе 2011 года его хотя бы раз детектировали примерно у 140 тысяч пользователей.

Согласно данным из лог-файлов, оказавшихся в распоряжении сотрудников «Лаборатории», вредоносной программой Trojan-Downloader.Win32.CodecPack были заражены компьютеры в 235 странах мира. Наибольшее распространение троянец получил в США, Бразилии и Индии. Для распространения своего загрузчика ботсеть Artro, по всей видимости, использует услуги других компьютерных злоумышленников, предоставляющих сервисы по установке вредоносного ПО на компьютеры пользователей. Загрузчик CodecPack распространяется как через ботнеты — в этом случае он устанавливается на ранее зараженный другим троянцем-загрузчиком компьютер, так и иными способами. Например, через зараженные сайты.

В марте текущего года злоумышленники занимались рассылкой спама, содержащего ссылки якобы на информацию о землетрясении в Японии. На самом деле, тема, волнующая миллионы людей, использовалась для распространения вредоносного ПО. Кликнув по ссылке, пользователь попадал на зараженный сайт, а находящийся на нем эксплойт автоматически загружал и запускал Trojan-Downloader.Win32.CodecPack.

Но чаще всего пользователи сами провоцируют заражение своих компьютеров, когда скачивают и запускают вредоносные файлы с незнакомых ресурсов. Как правило, злоумышленники выдают троянца за полезный кодек, легальную программу, генератор ключей или «кряк» (программу для взлома ПО), распространяющихся на ресурсах с различным программным обеспечением.

Также троянца легко «подхватить» на поддельных видеохостингах, порносайтах и в блогах, созданных специально с целью заманивания пользователей и заражения их компьютеров. Для того, чтобы обеспечить приток посетителей на такие сайты, злоумышленники используют методы черной поисковой оптимизации (Black SEO), благодаря которым при запросе поисковики выводят их на высокие места. Также ссылки на сайты с вредоносным ПО размещаются в комментариях на популярных блогах, новостных порталах и т. п.

Распространению Trojan-Downloader.Win32.CodecPack способствует не только любопытство пользователей, но и различные уловки злоумышленников. Например, для того, чтобы максимально усложнить детектирование вредоносной программы, троянца защищают «упаковщиком», анализ кода затрудняется дополнительными ухищрениями, а все данные, запрашиваемые или получаемые «зловредом», поступают в зашифрованном виде.

В ходе изучения работы ботнета Artro специалисты «Лаборатории» выявили также множество систем по покупке и продаже трафика, с которыми взаимодействуют различные боты CodecPack. В списке выявленных ресурсов присутствуют как сайты с сомнительной репутацией, так и весьма известные и широко используемые рекламные сервисы.

В связи с этой проблемой специалисты советуют рекламодателям внимательнее относиться к выбору партнеров, с помощью которых они хотят привлечь на свой сайт посетителей. Иначе вместо реальной аудитории они могут получить лишь множество кликов с компьютеров-зомби, управляемых ботнетом. Об эффективности рекламы в таком случае говорить не приходится.