Miljard valse advertentie-impressies gecreëerd door malware

Onderzoekers hebben een nieuw type malware ontdekt dat valse advertentie-impressies creëert om frauduleuze advertentie-inkomsten te genereren. In een paar maanden creëerde de malware meer dan een miljard valse impressies, weet ZDNet.  

Afgelopen woensdag rapporteerde cybersecuritybedrijf Flashpoint dat de malware voor een miljard valse Google Adsense-impressies verantwoordelijk is geweest in drie maanden. Doelwitten van de malware op Windows zijn bijvoorbeeld Google Chrome, Mozilla Firefox en de Yandex-browser. Geïnfecteerde browsers worden gekoppeld aan een botnet, waarmee voor criminelen maandelijks valse inkomsten worden gecreëerd door het illegaal omhoogstuwen van het aantal advertentie-impressies.

De browser van een slachtoffer wordt eerst geïnfecteerd door malware die in staat is om veiligheidslekken of kwetsbaarheden in de software uit te buiten. In die eerste fase wordt een nieuwe, kwaadaardige browserextensie toegevoegd of wordt de “Patcher”-module, die deze taak voor de malware uitvoert, gedownload. Het installatieprogramma voor deze module zal zich op Windows voordoen als een geplande normale taak, door zich te gedragen alsof het gekoppeld is aan Windows Update (zo wordt het programma dus uiteindelijk zelfs automatisch uitgevoerd).

Injectie van advertentie-impressies

Zodra de kwaadaardige extensie is toegevoegd, wordt een ander onderdeel onder de naam Finder geïmplementeerd, dat aanmeldingsgegevens van de browser evenals cookies steelt. Finder stuurt die gegevens vervolgens naar de command-and-control-server (C2) van de operator. Een aparte C2 wordt ook gebruikt om commands door te geven aan de malware, bijvoorbeeld om in te kunnen stellen hoe vaak bots controleren op gestolen informatie. Advertenties worden vervolgens als het ware geïnjecteerd in browsersessies. Ook genereren scripts soms verkeer op de achtergrond om valse impressies te creëren zonder dat de gebruiker hier überhaupt van op de hoogte is.

De code plaatst zichzelf niet op elke website die een slachtoffer bezoekt. De malware gebruikt namelijk ook zwarte lijsten, waarop bijvoorbeeld Google-domeinen en Russische websites staan. Flashpoint meldt overigens dat het grootste aantal installatiepogingen heeft plaatsgevonden in Rusland, Oekraïne en Kazachstan.