WebHostingTalk

Symantec – Flashback zarabiał 10 000$ dziennie

flashback_code

Firma antywirusowa przebrnęła przez kod trojana by znaleźć motyw twórców.

Wiadomość o powstaniu trojana flashback atakującego systemy Mac wstrząsnęła użytkownikami kompterów spod znaku Apple. System uważany do tej pory za bezpieczny stał się celem przestępców komputerowych. Motywy twórców takiego oprogramowania różnią się, jednak najczęstszą przyczyną jest chęć zarobku. Zwykle odbywa się to przez kradzież numerów karty kredytowej albo haseł do kont lub przez odpowiednie wykorzystanie reklam.

Eksperci z symantec’a przeanalizowali kod trojana by zebrać dowody wskazujące na motyw powstania szkodliwego kodu. Okazało się że Flashback zawiera instrukcje oparte o  schemat  ad-click – do przeglądarek  Chrome, Firefox, i Safari dołączany jest program który przechwytuje wszelkie zapytania GET i POST. Głównym celem są słowa skierowane do wyszukiwarki google i w zależności od zwracanego rezultatu przekierowuje użytkownika do strony która przyniesie zysk. Komponent filtruje zapytania z kliknięć na reklamy Google i sprawdza czy znajdują się one na dozwolonej, białej liście. Jeśli nie, przekierowuje je na spreparowany serwer w formie:

HTTP://[FLASHBACK_DOMAIN]/SEARCH?Q=[QUERY]&UA=[USER AGENT]&AL=[LANG]&CV=[VERSION]

W polu USER AGENT wstawiany jest UUID , unikalny identyfikator klienta zakodowany za pomocą base64 najprawdopodobniej po to, by uniemożliwić odczytanie adresu url jeśli nie jest przeznaczony dla podstawionego serwera.

Cała procedura odbywa się w następujacy sposób:

1.Użytkownik szuka np. zabawek wpisując do wyszukiwarki słowo „zabawki”.

 2.Klika na reklamę Google dotyczącą „zabawek” .

3.Flashback moniotrując zapytania znajduje ciąg BIDOK jako jeden z elemntów po których zaczyna działać.

4.Ponieważ użytkownik kliknął na reklamę, Google, w normalnym przypadku otrzymałoby należność , jednak trojan przekierowuje  zapytanie wyrzucając Google z obiegu które nie dostaje jakichkolwiek informacji a więc nie może  pobrać opłaty.

5.Zamiast właściwej strony użytkownik odwiedza spreparowaną.

Wykorzystanie w celach zarobkowych mogło więc polegać na oferowaniu sprzedaży reklam na Google które nie pobierało opłat a dochód wpływał na konto przestępców, na wyświetlaniu stron z własnymi promocjami zamiast właściwych albo na masowym wykupywaniu własnych reklam.

http://www.biztechmagazine.com/article/2012/05/symantec-flashback-trojan-authors-made-10000-day

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *