27, январь 2014  —  Международная антивирусная компания ESET предупреждает о возросшей активности троянаBoaxxe, который заражаетрусскоязычных пользователей, перенаправляя их на рекламные сайты.

Win32/Boaxxe.BE– семейство вредоносных программ, используемыхкиберпреступниками для перенаправления пользователя на рекламные сайты ради получения платыот рекламодателя (эта схема называется «кликфрод»).

Данная программа попадает в системучерез вредоносные ссылки, которые активно распространяются на сомнительных или зараженных сайтах, а такжечерез спам-рассылки. С сентября 2013 года троян Boaxxe распространяетсясилами участников одной из мошеннических партнерских программ (т.н. «партнерок») в русскоязычном сегменте сети.

За последние четыре месяца, в течение которых эксперты ESETотслеживали активность Boaxxe,к данной партнерской программе присоединились более сорока новых участников.

Согласно проанализированной статистике, за два месяца один из участниковзаразил трояном Boaxxe свыше 3300 устройств. Если экстраполировать эти данные, то получается, что лишь за счет сорока новых «партнеров»заражению подверглись не менее 100 000 пользователей.

Троян Boaxxe реализует два типа кликфрода – автоматический и инициированный пользователем. В первом случае клики на рекламные ссылки автоматически генерируются без ведома иучастия пользователя, в течение всего времени работызараженной системы. Во втором случае переход по рекламной ссылке инициирует сам пользователь – он вводит поисковый запрос в одну из легальных поисковых систем, после чего троян подставляет в результатывыдачи рекламные сайтывместо искомых.

При автоматическом кликфроде прибыль злоумышленников значительно выше– согласно статистике активности вышеупомянутого участника партнерки, за два месяца его прибыль составила $200за автоматический кликфрод и всего $50 за обычный, инициированный пользователем.

Еженедельные обнаружения Win32/Boaxxe.BE, начиная с сентября 2013 года.

На данный момент заинтересованность киберпреступниковв Boaxxe подтверждается увеличением числа источников его распространения. Пиковая активность, представленная на графике,соответствует активности некоторых участников партнерской программы. Так, один из них перед Новым годом запустил масштабную спам-кампанию для широкого распространения трояна.

Стоит отметить осторожное поведение Boaxxe в захваченной системе – программа использует различные механизмы внедрения и заражения, в зависимости от используемого браузера, а также умеет скрываться от антивирусных сканеров.

Кроме того, троян избегает обнаружения самим пользователем. Так, когда пользователь выполняет поисковый запрос с использованием ключевого слова, Win32/Boaxxe.BE отправляет это слово в собственную поисковую систему, которая возвращает список подходящихрекламных сайтов, ссылки на которые и подставляются в поисковую выдачу.

При нажатии на такую ссылку пользователь не успевает увидеть легальную страницу, на которую он кликнул – вместо этого троян сразу перенаправляет его на одну из рекламных страниц, которые более-менее соотносятся с изначальным запросом. При отсутствии рекламных сайтов, относящихся к данному ключевому слову, перенаправление не выполняется.

Что примечательно, если в поисковой выдаче показываются ссылки на такие сервисы, как Wikipedia, Facebook или Twitter, содержание которых, скорее всего, хорошо знакомо пользователю, перенаправление также не будет осуществляться.

В итоге жертва Boaxxe может месяцами пополнять карманы злоумышленников и даже не подозревать об этом.

Компания ESETпредупреждаетпользователейо необходимости надежной антивирусной защиты личных данных, а также напоминает, что решения ESETNOD32 успешно детектируют модификации данной вредоносной программы.

Узнайте о продуктах ESETNOD32 на сайте www.esetnod32.ru/home.