Redirector.Paco, il malware per Windows che frodava Google Adsense Cambia i parametri di connessione dei computer delle vittime, ed arriva ad alterare i loro risultati di ricerca

<span class="entry-title-primary">Redirector.Paco, il malware per Windows che frodava Google Adsense</span> <span class="entry-subtitle">Cambia i parametri di connessione dei computer delle vittime, ed arriva ad alterare i loro risultati di ricerca</span>

Un nuovo malware sembra essersi diffuso per molti utenti Windows, ed andrebbe addirittura ad alterare i risultati di ricerca per effettuare una vera e propria truffa ai danni di Google e del suo programma Google Adsense.

Il malware in questione, a differenza di quelli “classici” che tendono ad infettare localmente computer o smartphone, si colloca insospettabilmente all’interno dei risultati di alcune ricerche su Google, precisamente il motore di ricerca personalizzato. L’obiettivo dello stesso sembra quello di attivare transazioni fraudolente, ovvero click e visualizzazioni, del noto programma di affiliazione Google Adsense. L’infezione dei computer – il nome del virus è Redirector.Paco – che partecipano involontariamente a questa frode sembra partire dall’installazione di un file .msi corrotto, dal nome apparentemente non sospetto (“WinRAR 5.2 msi”, “WinRAR 5.11”, “YouTube Downloader 1.0.1”, “WinRAR 5.11 Final”, “”Connectify 1.0.1”, “Stardock Start8 1.0.1”, “KMSPico 9.3.3”)

Adsense, infatti, investe parte dei propri ricavi degli inserzionisti in annunci innestati nei risultati di ricerca, con il risultato di produrre guadagni ai gestori dei motori personalizzati e costituendo, in molti casi, parte di un modello di business sostanziale. In questo caso i malviventi andavano a manipolare alcuni parametri della configurazione per internet (nel paper si parla di AutoConfigProxy e di AutoConfigURL) redirezionando il traffico degli utenti su risultati di ricerca farlocchi, apparentemente identici agli originali. In pratica si va a manipolare il registro di Windows e questo provoca un attacco particolarmente complesso ed altrettanto difficile da scovare: si tratta di un attacco man in the middle in cui la connessione del browser della vittima viene redirezionata via proxy, i risultati sono quelli effettivi del motore di ricerca ma vengono nuovamente criptati (con tanto di certificato SSL) per poi essere mostrati come se fossero reali (quando in realtà sono stati alterati silenziosamente).

Non è banale accorgersi dell’imbroglio, e si spera che le prossime versioni degli antivirus siano in grado di rilevare una cosa così sofisticata. Tra gli IP colpiti (circa 900.000 secondo le stime) ce ne sono alcuni provenienti da paesi come India, Malesia, Grecia, USA, Italia, Pakistan, Brasile ed Algeria.

(fonte)

Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.