domenica 18 settembre 2011

Symantec scopre truffa attraverso clic fraud veicolata da file infector


I ricercatori di sicurezza di Symantec hanno scoperto una truffa attraverso clic fraudolenti con l'aiuto di un file infector sofisticato. I file infector sono tipologie di virus che infettano i file, modificandone la struttura interna in modo tale da essere eseguiti quando viene lanciata l'applicazione che li ospita. In realtà l'infector, chiamato W32.Xpaj.B, ha attirato l'attenzione degli analisti di malware per il suo complesso sistema tecncio di evasione. W32.Xpaj.B è uno degli agenti infettanti di file più complessi e sofisticati che Symantec abbia mai incontrato. Le tecniche che W32.Xpaj.B usa per nascondere se stesso all'interno di un eseguibile sono ben oltre la norma. Dato questo livello di complessità, Symantec ha deciso di analizzare la minaccia nei dettagli. W32.Xpaj.B infetta i file eseguibili su computer e unità di rete per poi interrogare il server di comando e controllo ogni volta che vengono eseguiti.


"W32.Xpaj.B è uno degli agenti infettanti di file più complessi e sofisticati che Symantec abbia rilevato. Il W32.Xpaj.B usa tecniche per nascondere se stesso all'interno di un eseguibile che vanno ben oltre la norma", fa notare in un post sul blog di sicurezza, Gavin O Gorman, analista di Symantec. L'analisi di Symantec ha rivelato gli indirizzi IP dei server per il comando e controllo (C & C). Gli eseguibili infetti da W32.Xpaj.B inviano una richiesta di download a questi server C & C. Analisi delle infrastrutture di controllo dei server-side hanno rivelato la minaccia più che i dati inviati dal server al client infetti. 

I server contengono dati binari cifrati, chiavi di cifratura, database e applicazioni web. Questi erano tutti gli elementi di quello che è emerso da un'operazione di frode che si è sviluppata su più computer ospitati in diversi paesi. Il reverse engineering dei dati binari, in collaborazione con l'analisi delle applicazioni Web, ha costruito l'immagine di un contorto sistema di click-fraud. Gli intricati dettagli di come la frode è stata attuata sono descritti nel documento tecnico associato, W32.Xpaj.B: Fare soldi facili da codice complesso [PDF]. 

Nel documento viene presentata una panoramica da cui si scopre quanto sia stata diffusa la minaccia e quanto denaro hanno guadagnato i truffatori. Nonostante che assomigli ad un uso generale dei downloader, W32.Xpaj.B è stato utilizzato solo come parte di questo schema click-fraud che dirotta legittime richieste dei motori di ricerca e restituisce carichi di risultati. L'infrastruttura a sostegno di questa operazione si estende su diversi paesi, ma a differenza del file infector, il codice lato server è ingenuo. Questo ha portato i ricercatori a credere che il dropper potrebbe essere stato acquistato da una terza parte.

La stessa truffa è simile a quella che recentemente ha portato sul motore di ricerca Google la visualizzazione di avvisi malware. Le ricerche sono passate attraverso una serie di deleghe e quando vengono restiutiti i risultati, sono accompagnate da annunci canaglia. I ricercatori di Symantec sono riusciti a decodificare il codice criptato e ottenere l'accesso alla "contabilità" back-end dei registri per quanto riguarda settembre 2010. L'esame di alcuni script automatici in esecuzione sul server, così come i nomi chiave crittografici, ha rivelato una mappa delle infrastrutture diffuse in diversi paesi. 


L'estratto mostra i dati che i truffatori hanno intercettato su una media di 241.000 ricerche al giorno fino a giugno di quest'anno, che ha prodotto un utile di 170 dollari al giorno. Prendendo in considerazione uno dei tre uomini che hanno operato dall'Ucraina , significa che ogni truffatore ha guadagnato più di 1.000 dollari al mese. Dato che lo stipendio medio lordo mensile in Ucraina è stato di 290 dollari nel 2010 e che le persone dietro a questa truffa hanno guadagnato tre volte tale cifra, non è difficile capire perché i cyber criminali sono così determinati. 

La quantità di soldi guadagnati in uno schema click-fraud schema dipende dal numero di clienti infetti e dal numero di ricerche e click eseguiti dai clienti. Sebbene il numero di clienti infetti, non è memorizzato nel database, il dtabase ha ancora memorizzati i file di log che erano stati caricati dal server C & C. L'elaborazione di questi file di log ha dato una registrazione del numero di connessioni uniche al giorno. Grazie ad alcuni registri delle connessioni IRC che erano presenti su uno dei server, è possibile ipotizzare l'identità della persona o delle persone dietro la truffa. Symantec sta lavorando con i fornitori dei più importanti hosting e altri vendor di sicurezza per garantire che questa infrastruttura maligna venga spenta.

Nessun commento:

Posta un commento