Paco, il bot milionario che manipola i risultati dei motori di ricerca

Secondo alcuni ricercatori rumeni, nell’arco di un anno e mezzo il malware Windows rilevato da Bitdefender come Redirector.Paco ha infettato oltre 900.000 macchine (IP), situate principalmente in India, Malaysia, Grecia, Stati Uniti, Italia, Pakistan, Brasile e Algeria. Lo scopo principale che si prefigge l’insidioso Trojan è quello di reindirizzare le query di ricerca inoltrate dall’utente-vittima, e di sostituire, poi, i risultati prodotti dal search engine con pubblicità che, di fatto, generano profitti per gli operatori.

Come riferisce Softpedia, sulla base di quanto dichiarato dagli esperti, Paco ha fatto la sua comparsa nei meandri della Rete verso la metà del mese di settembre 2014. Il processo di infezione ha inizio con il download, da parte dell’utente, di un pacchetto di installazione modificato, relativo a programmi particolarmente diffusi: WinRAR, YouTube Downloader, Connectify, KMSPico o Stardock Start8. Per assicurare la presenza permanente del malware nell’elenco delle attività pianificate, vengono aggiunti dei falsi Adobe Flash Scheduler e Adobe Flash Update, i quali, in pratica, garantiscono l’esecuzione dei componenti malevoli (script) ogni volta che l’utente accede al sistema, oppure in base ad un orario prestabilito.

Uno di tali componenti modifica i parametri Internet riguardanti l’utente sottoposto ad attacco, disattivando inizialmente, per tale preciso scopo, la cache del proxy server. Di conseguenza, ogni volta che l’utente invia una query a Google, Bing o Yahoo, viene chiamato in causa un file PAC (Proxy Auto Configuration) malevolo, ospitato su una risorsa di terze parti. Guidato dal contenuto di tale file, il browser redirige il traffico web verso un altro indirizzo. In tal modo, alla vittima saranno restituite, a seguito della ricerca effettuata, pagine web manipolate, contenenti i risultati generati dal sistema Google Custom Search Engine di volta in volta predisposto sui siti web dei malintenzionati.

Per eludere la notifica di errore che appare nel browser in caso di utilizzo improprio del protocollo HTTPS, uno dei componenti del Trojan provvede a scaricare ed installare un proprio certificato root, il quale consente di “coprire” e mascherare le pagine fasulle mediante l’utilizzo di certificati digitali SSL generati localmente. Nel riferire in merito a tale peculiarità, il reporter di Softpedia evidenzia che l’inganno può essere scoperto semplicemente cliccando sull’icona a forma di lucchetto presente nella barra degli indirizzi del browser. Inoltre, eventuali risultati fasulli, restituiti in seguito alla query inviata al motore di ricerca, sono testimoniati dall’assenza del logo di Google nella parte inferiore della pagina web, così come da un caricamento troppo lento della stessa, nel corso del quale, sulla barra di stato del browser compare il messaggio “Waiting for proxy tunnel”, oppure “Downloading proxy script”.

I ricercatori hanno ugualmente individuato un ulteriore componente del Trojan, che consente di modificare su scala locale i risultati della ricerca, senza l’ausilio di un server esterno. A tale scopo, il malware lancia un servizio MitM, utilizzando la libreria FiddlerCore, dinamicamente connessa, ed un server HTTP, preposto a fornire il file PAC letto dal browser.

Come era lecito attendersi, l’unico scopo alla base di questa lunga serie di trucchi, espedienti e sotterfugi, è rappresentato dall’ottenimento del compenso percepito a seguito della partecipazione al programma di partenariato AdSense for Search, lanciato da Google per i proprietari di siti web. Tale programma presuppone l’inserimento, sul sito web dell’utente, del motore di ricerca personalizzato denominato Custom Search Engine, adibito, tra l’altro, a restituire pagine provviste di pubblicità contestuali. Ogni click realizzato dai visitatori sull’annuncio pubblicitario, collocato tra i risultati emessi dal search engine personalizzato, produce delle commissioni per il proprietario del sito. Nello specifico caso qui esaminato, i truffatori si sono semplicemente approfittati di tale opportunità, allo scopo di monetizzare l’attività della propria botnet.

Fonte: Softpedia

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *