بدافزار Redirector.Paco

بدافزارکمیته رکن چهارم – طی دو سال گذشته، یک گروه از مجرمان اینترنتی یک میلیون رایانه در سراسر جهان را به کمک یک بدافزار هک نموده اند. این بدافزار با استفاده از یک پراکسی محلی، صفحات نتایج جستجو را به سرقت میبرد.

به گزارش کمیته رکن چهارم،محققان امنیتی شرکت امنیتی بیت دیفندر در رومانی، این بات نت سارق کلیک را شناسایی کرده و آن را Million Machine Campaign نام نهاده اند.
«بات نتها» شبکه هایی از رایانه های درگیر با بدافزار هستندکه برای کنترل سیستم های آلوده، بدون اطلاع کاربر استفاده میشوند. آنها به طور بالقوه برای راه اندازی حملات محرومیت از سرویس (DDoS) وب سایت های مختلف نیز به کار برده میشوند. بدافزار مورد نظر، Redirector.Paco نام دارد که از زمان انتشار خود یعنی سال ۲۰۱۴ تا به حال توانسته به تنهایی بیش از ۹۰۰٫۰۰۰ رایانه در سراسر جهان را آلوده سازد.
زمانی که کاربران به دانلود و نصب نسخه هایی از نرم افزارهای محبوب مانند WinRAR، YouTube Downloader, KMSPico, Connectify, or Stardock Start8 بپردازند، تروجان Redirector.Paco، کاربران را آلوده می سازد. پس از آلوده سازی، بدافزار پاکو کلیدهای رجیستری محلی رایانه را تغییر میدهد و برای اطمینان از این موضوع که بدافزار بعد از هر بار بوت شدن رایانه، شروع به کار میکند؛ دو فایل که خود را تحت عناوین Adobe Flash Update” ” و “”Adobe Flash Scheduler جا میزنند، به رایانه اضافه میکند.
علاوه بر این، این بدافزار فایل های جاوا اسکریپتی را به رایانه وارد میسازد که دانلود و پیاده سازی یک فایل PAC (پیکربندی پراکسی خودکار) را سبب میشوند که آن هم به سرقت تمام ترافیک وب میپردازد و این اطمینان را میدهد که مسیرهای ترافیک از طریق سرور مهاجم قابل کنترل خواهد بود. سپس پاکو به جاسوسی تمام ترافیک وب آن رایانه آلوده میپردازد و به نتایج موتورهای جست و جوی محبوب مانند گوگل، بینگ، یاهو دسترسی پیدا میکند و میتواند نتایج واقعی را با صفحات وب جعلی جایگزین نماید و به تقلید رابط کاربری واقعی بپردازد.

این بات نت، توانایی تغییر مسیر نتایج موتورهای جست و جو را حتی زمانی که نتایج به دست آمده به صورت HTTPS رمز نگاری شده باشند؛دارد.برای این کار، این بدافزار از یک گواهی ریشه ای رایگان -DO_NOT_TRUST_FiddlerRoot – استفاده میکند که مانع از این میشود تا مرورگر شما خطاهای HTTPS را نشان دهد.
هدف اصلی این ماجرا، کمک به مجرمان اینترنتی برای کسب درآمد از برنامه ادسنس (AdSense) است تا از تغییر مسیر صفحات جست و جو و انتشار تبلیغات، پول به جیب بزنند. ادسنس یک برنامه تبلیغاتی ارائه شده توسط گوگل است. دارندگان وبگاه ها میتوانند در این برنامه نامنویسی کنند تا روی وبگاه هایشان تبلیغات متنی، تصویری و ویدئویی فعّال شود. درآمد حاصل از این تبلیغات که گوگل مدیریتشان میکند، از راه per-click و یا per-impression است.
اگر چه این بدافزارها تلاش میکنند نتایج جست و جو معتبر به نظر برسد اما علائمی وجود دارد که مثل زنگ خطر میمانند و سوء ظن را بالا میبرند. مانند نشان دادن پیام هایی مثل «در انتظار تونل پراکسی» یا «دانلود اسکریپت پروکسی» در نوار وضعیت مرورگر شما.علاوه بر این، مدت زمان بارگذاری نتایج در موتور جست و جو نسبت به حالت عادی طولانیتر میشود و کاراکترهای ‘O’ زرد رنگ گوگل در بالای شماره صفحه نمایش داده نمی شود.این شرکت امنیتی میگوید اکثر قربانیان مربوط به کشورهایی مانند هند، مالزی، یونان، ایالات متحده، ایتالیا، پاکستان، برزیل و الجزایر هستند.
با این حال، برای جلوگیری از این نوع از تهدیدات سایبری، انجام اقدامات امنیتی استاندارد بسیار ضروری است. برای مثال باید سیستم و آنتی ویروس خود را به روز رسانی شده نگه دارید و همیشه به هشدارها مبنی بر وجود یک مشکل در رایانه تان توجه جدی داشته باشید.

منبع : Thehackernews

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.