Эксперты Bitdefender рассказали о ботнете Million-Machine, осуществляющем перехват запросов к поисковым системам и зарабатывающем на рекламе.
В основе ботнета лежит вредоносное программное обеспечение Redirector.Paco. Его распространение осуществляется с помощью инфицированных версий таких программ, как Connectify, KMSPico, Stardock Start8, WinRAR и YouTube Downloader.
При проникновении в компьютер Redirector.Paco добавляется в список автозапуска в реестре, маскируясь под программы Adobe Flash Scheduler и Adobe Flash Update. Вместе с тем, вредоносная программа изменяет в настройках Internet Explorer адрес прокси. В результате все запросы пользователя проходят через локальный прокси на порте 9090.
Задача локального прокси – перехват запросов пользователя к поисковым системам. При попытке перехода на Bing, Google или Yahoo вредоносная программа заменяет настоящую веб-страницу поисковой системы на поддельную.
Фальшивые ответы на запросы, демонстрируемые программой, генерируются с помощью системы пользовательского поиска Google, дающей возможность любому человеку создать специализированную поисковую систему для своих нужд, например, изменяя их настройки и оформление. Помимо этого, Google делится с создателями таких поисковиков доходом от рекламы, отображаемой на этих страницах.
С помощью Redirector.Paco злоумышленники зарабатывают деньги на каждом рекламном объявлении Google, по которому кликают пользователи, чьи компьютеры инфицированы данной вредоносной программой.
Согласно информации Bitdefender, программа Redirector.Paco активна с 2014 года и уже заразила свыше 900000 компьютеров. От действий операторов программы пострадали алжирские, американские, бразильские, греческие, индийские, итальянские, малазийские и пакистанские пользователи.