Bitdefender deckt Klickbetrüger-Botnet mit rund 900.000 Botrechnern auf

Malware (Bild: Shutterstock)

Das auf dem Trojaner Redirector.Paco basierende Botnetz fügt Werbebudgets seriöser Firmen laut Bitdefender bislang in der Höhe nicht beobachtete Schäden zu. Dazu klinkt es sich im Browser in die gängigen Suchmaschinen ein und ersetzt dort Suchtreffer durch die einer von den Hintermännern definierten Google-Custom-Suche.

Die beim Anbieter Bitdefender beschäftigten Antimalware-Forscher Cristina Vatamanu, Răzvan Benchea und Alexandru Maximciuc haben den seit Mitte September 2014 kursierenden Trojaner “Redirector.Paco” und das von ihm aufgebaute Botnetz gründlich untersucht. Obwohl die rund 900.000 infizierten Systeme vor allem in Indien, Malaysia, Griechenland, den USA, Italien, Pakistan, Brasilien und Algerien stehen, fügt er doch auch Unternehmen in anderen Ländern erheblichen Schaden zu. Hat er sich einmal auf einem Rechner eingenistet, ersetzt er dort Suchanfragen in gängigen Suchmaschinen durch eine von den kriminellen definierte Google Custom Search und leitet den Traffic so zum Nachteil von AdSense-Kunden um. Zum möglichen Schaden durch das Botnetz für Kunden von Googles AdSense-Programm macht Bitdefender keine Angaben. Das Unternehmen erklärt lediglich, der habe ein bislang nicht gekanntes Ausmaß.

Bitdefender (Grafik: Bitdefender)

Den Bitdefender-Experten zufolge reicht es dazu aus, dass die Malware einige “simple Registry Tweaks” durchführt. Dazu gehört, dass sie die Einstellungen für “AutoConfigURL” und “AutoConfigProxy” in den “Internet-Einstellungen” ändert. Bei jeder Suchanfrage, die der Nutzer dann durchführt wird dann ein PAC-File (Proxy Auto-Config) aufgerufen. Diese Datei weist den Browser an, die Suchanfrage an eine bestimmte Adresse umzuleiten. Das bietet den Kriminellen dann die Möglichkeit, über Googles AdSense-Programm Geld zu verdienen. Die Geschädigten sind die Unternehmen, die über dieses Programm Anzeigen platzieren.

Da es den Hintermännern nicht darauf ankommt, die Nutzer auszuspionieren oder Daten von ihnen zu sammeln, sondern lediglich darauf, deren Anfragen so lange wie möglich auf ihre Seiten umzuleiten, unternehmen sie einiges, um die Suchergebnisse so authentisch wie möglich erscheinen zu lassen.

Dennoch gibt es laut Bitdefender einige Hinweise, die Nutzer Verdacht schöpfen lassen sollten. Beispielsweise werden unter Umständen in der Statusleiste des Browser Nachrichten wie “Waiting for proxy tunnel” oder “Downloading proxy script” angezeigt. Außerdem dauere es ungewöhnlich lange, bis die Google-Seite geladen ist und fehlten die bei der echten Google-Suche über den Seitenzahlen der Suchtrefferliste angezeigten mehreren gelben ‘o’.

Redirector.Paco ist auch an dem falschen Zertifikat erkennbar (Screenshot: Bitdefender).
Redirector.Paco ist auch an dem falschen Zertifikat erkennbar (Screenshot: Bitdefender).

Die Malware gelangt üblicherweise über eine modifizierte MSI-Datei auf den Rechner. Diese Installationsdatei stammt laut Bitdefender ursprünglich von weit verbreiteten, legitimen Programmen wie “WinRAR 5.2”, “WinRAR 5.11”, “YouTube Downloader 1.0.1”, “WinRAR 5.11 Final”, “Connectify 1.0.1”, “Stardock Start8 1.0.1”, “KMSPico 9.3.3” und wurde mit Hilfe von Advanced Installer manipuliert. Sie sorgt dann dafür, dass durch die geänderten Einstellungen jede Anfrage auf einer Seite die mit https://www.google oder https://cse.google beginnt zur IP-Adresse 93.*.*.240 über Port 8484 umgeleitet wird. Da die Anfrage über HTTPs erfolgt, werden Nutzer an dieser Stelle allerdings darauf hingewiesen, dass es Probleme mit dem Zertifikat dieser Seite gibt.

Doch auch daran haben die Kriminellen gedacht. Die Datei Update.txt lädt ein Root-Zertifikat herunter und installiert es, so dass jede Verbindung, die über eine in der PAC-Datei festgelegte Verbindung erfolgt als sicher gekennzeichnet wird. Das Icon für das HTTPS-Protokoll in der Adressleiste des Browsers wird wie gewohnt angezeigt, um einen möglichen Verdacht der Nutzer an dieser Stelle zu zerstreuen. Lediglich wenn sie das Zertifikat prüfen, – was in der Praxis aber nur sehr wenige tun – stellen sie fest, das als Herausgeber dort “DO_NOT_TRUST_FiddlerRoot” angegeben ist.