Эксперты «Лаборатории Касперского» рассказали о новой троянской программе для Windows – Magala.
Вредоносная программа задействует виртуальные рабочие столы для того, чтобы кликать по рекламе, отображаемой в поисковой выдаче, и приносить прибыль для своих операторов. Magala заражает лишь устройства с Windows, на которые установлены версии браузера Internet Explorer, начиная с девятой.
Основные функции троянской программы – инициализация виртуального рабочего стола и инсталляция панели инструментов для браузера Maps Galaxy. Последняя меняет стартовую страницу Internet Explorer на MyWay. Данный поисковый движок основан на базе технологии Google. После проникновения на систему Magala осуществляет подключение к командному серверу и загрузку с него списка слов, которые после вводятся в поисковик MyWay. После вывода результатов поиска троянская программа осуществляет синтаксический анализ страницы и кликает по первым десяти ссылкам.
Magala для работы пользуется механизмом Windows IHTMLDocument2, который дает приложениям доступ к веб-страницам. При клике зараженного хоста по рекламе на счет операторов троянской программы зачисляются деньги. Обычно в рамках подобных киберкампаний за один клик хакеры получают 7 центов, а за сто – 2,2 долларов. Помимо нецелевого использования ресурсов процессора, Magala не наносит вред инфицированной системе. Но в то же время она приводит к отсутствию отдачи от рекламы для тех, кто платит большие деньги рекламным фирмам, использующими троянские программы вместо легитимных утилит.
