Bitdefender deckt Klickbetrüger-Botnet mit rund 900.000 Botrechnern auf

Die beim Anbieter Bitdefender beschäftigten Antimalware-Forscher Cristina Vatamanu, Răzvan Benchea und Alexandru Maximciuc haben den seit Mitte September 2014 kursierenden Trojaner “Redirector.Paco” und das von ihm aufgebaute Botnetz gründlich untersucht. Obwohl die rund 900.000 infizierten Systeme vor allem in Indien, Malaysia, Griechenland, den USA, Italien, Pakistan, Brasilien und Algerien stehen, fügt er doch auch Unternehmen in anderen Ländern erheblichen Schaden zu. Hat er sich einmal auf einem Rechner eingenistet, ersetzt er dort Suchanfragen in gängigen Suchmaschinen durch eine von den kriminellen definierte Google Custom Search und leitet den Traffic so zum Nachteil von AdSense-Kunden um. Zum möglichen Schaden durch das Botnetz für Kunden von Googles AdSense-Programm macht Bitdefender keine Angaben. Das Unternehmen erklärt lediglich, der habe ein bislang nicht gekanntes Ausmaß.

Den Bitdefender-Experten zufolge reicht es dazu aus, dass die Malware einige “simple Registry Tweaks” durchführt. Dazu gehört, dass sie die Einstellungen für “AutoConfigURL” und “AutoConfigProxy” in den “Internet-Einstellungen” ändert. Bei jeder Suchanfrage, die der Nutzer dann durchführt wird dann ein PAC-File (Proxy Auto-Config) aufgerufen. Diese Datei weist den Browser an, die Suchanfrage an eine bestimmte Adresse umzuleiten. Das bietet den Kriminellen dann die Möglichkeit, über Googles AdSense-Programm Geld zu verdienen. Die Geschädigten sind die Unternehmen, die über dieses Programm Anzeigen platzieren.

Da es den Hintermännern nicht darauf ankommt, die Nutzer auszuspionieren oder Daten von ihnen zu sammeln, sondern lediglich darauf, deren Anfragen so lange wie möglich auf ihre Seiten umzuleiten, unternehmen sie einiges, um die Suchergebnisse so authentisch wie möglich erscheinen zu lassen.

Dennoch gibt es laut Bitdefender einige Hinweise, die Nutzer Verdacht schöpfen lassen sollten. Beispielsweise werden unter Umständen in der Statusleiste des Browser Nachrichten wie “Waiting for proxy tunnel” oder “Downloading proxy script” angezeigt. Außerdem dauere es ungewöhnlich lange, bis die Google-Seite geladen ist und fehlten die bei der echten Google-Suche über den Seitenzahlen der Suchtrefferliste angezeigten mehreren gelben ‘o’.

Redirector.Paco ist auch an dem falschen Zertifikat erkennbar (Screenshot: Bitdefender).

Die Malware gelangt üblicherweise über eine modifizierte MSI-Datei auf den Rechner. Diese Installationsdatei stammt laut Bitdefender ursprünglich von weit verbreiteten, legitimen Programmen wie “WinRAR 5.2”, “WinRAR 5.11”, “YouTube Downloader 1.0.1”, “WinRAR 5.11 Final”, “Connectify 1.0.1”, “Stardock Start8 1.0.1”, “KMSPico 9.3.3” und wurde mit Hilfe von Advanced Installer manipuliert. Sie sorgt dann dafür, dass durch die geänderten Einstellungen jede Anfrage auf einer Seite die mit https://www.google oder https://cse.google beginnt zur IP-Adresse 93.*.*.240 über Port 8484 umgeleitet wird. Da die Anfrage über HTTPs erfolgt, werden Nutzer an dieser Stelle allerdings darauf hingewiesen, dass es Probleme mit dem Zertifikat dieser Seite gibt.

Doch auch daran haben die Kriminellen gedacht. Die Datei Update.txt lädt ein Root-Zertifikat herunter und installiert es, so dass jede Verbindung, die über eine in der PAC-Datei festgelegte Verbindung erfolgt als sicher gekennzeichnet wird. Das Icon für das HTTPS-Protokoll in der Adressleiste des Browsers wird wie gewohnt angezeigt, um einen möglichen Verdacht der Nutzer an dieser Stelle zu zerstreuen. Lediglich wenn sie das Zertifikat prüfen, – was in der Praxis aber nur sehr wenige tun – stellen sie fest, das als Herausgeber dort “DO_NOT_TRUST_FiddlerRoot” angegeben ist.

Redaktion

Recent Posts

Komplexität reduzieren und mit vorhandenen Ressourcen sicherer werden

"Unternehmen sollten Security-Investitionen neu bewerten, entscheiden, wo sie konsolidieren können und mit ähnlichem Geld sich…

1 Tag ago

Chemiekonzern Kemira archiviert seine SAP-Daten und Dokumente in der Cloud

Kemira hat sich von langjähriger Archivierungslösung getrennt und vertraut nun der Archivierung in der Cloud…

2 Tagen ago

Use-Case: KI-Integration im deutschen Mittelstand

Auch im deutschen Mittelstand setzen mehr und mehr Unternehmen auf den Einsatz von künstlicher Intelligenz.…

3 Tagen ago

Intelligente Dateninfrastruktur für Porsche Motorsport

Ganzheitliche Datenlösungen von NetApp soll Performance auf der Rennstrecke steigern.

3 Tagen ago

Cybersicherheitssoftware: Der Schlüssel zur digitalen Resilienz

Cyberbedrohungen werden zunehmend komplexer und raffinierter, daher stehen Unternehmen vor der Herausforderung, ihre digitalen Vermögenswerte…

4 Tagen ago

Dachser setzt auf No-Code-Plattform für digitale Transformation

Das Logistikunternehmen nutzt No-Code-Plattform von smapOne. Rund 1.250 "Citizen Developer" entwickeln Apps für Prozessverbesserungen und…

4 Tagen ago