Die Sicherheitsexperten von Bitdefender haben eine Analyse des seit Mitte September 2014 kursierenden Trojaners „Redirector.Paco“ und des von ihm aufgebauten Botnetzes veröffentlicht. Die etwa 900.000 infizierten Systeme stehen vor allem in Indien, Malaysia, Griechenland, den USA, Italien, Pakistan, Brasilien und Algerien, richten ihnen zufolge aber auch in anderen Ländern beträchtlichen Schaden durch Klickbetrug an.
Hat der Trojaner einen Rechner infiziert, ersetzt er dort Suchanfragen in gängigen Suchmaschinen durch eine von den Cyberkriminellen definierte Google Custom Search und leitet den Datenverkehr auf diese Weise zum Nachteil von AdSense-Kunden um. Zwar macht Bitdefender keine konkreten Angaben zu dem von dem Botnetz verursachten Schaden für Kunden von Googles Werbedienst AdSense, doch er soll ein bisher nicht gekanntes Ausmaß erreicht haben.
Laut den Bitdefender-Experten Cristina Vatamanu, Razvan Benchea und Alexandru Maximciuc führt die Malware einige „simple Registry-Änderungen“ durch. Beispielsweise modifiziert sie die Einstellungen für „AutoConfigURL“ und „AutoConfigProxy“ in den „Internet-Einstellungen“ eines Windows-Rechners. Bei jeder im Anschluss durchgeführten Suchanfrage wird dann eine PAC-Datei (Proxy Auto-Config) aufgerufen, die den Browser anweist, die Suchanfrage an eine bestimmte Adresse umzuleiten. Das bietet den Kriminellen die Möglichkeit, über Googles AdSense-Programm Geld zu verdienen. Die Geschädigten sind die Unternehmen, die über AdSense Anzeigen platzieren.
Offenbar kommt es den Klickbetrügern aber nicht darauf an, die Nutzer auszuspionieren oder Daten von ihnen zu sammeln. Stattdessen wollen sie nur deren Anfragen so lange wie möglich auf ihre Seiten umleiten. Um dies zu erreichen, unternehmen sie einiges, um die Suchergebnisse so authentisch wie möglich erscheinen zu lassen.
Dennoch gibt es Bitdefender zufolge einige Hinweise, die Nutzer Verdacht schöpfen lassen sollten. Beispielsweise werden unter Umständen in der Statusleiste des Browsers Nachrichten wie „Waiting for proxy tunnel“ oder „Downloading proxy script“ angezeigt. Außerdem dauere es ungewöhnlich lange, bis die Google-Seite geladen werde, und fehlten die bei der echten Google-Suche über den Seitenzahlen der Suchtrefferliste angezeigten mehreren gelben „o“.
Die Cloud forciert Innovationen
Die Malware gelangt üblicherweise über eine modifizierte MSI-Datei auf den Rechner. Diese Installationsdatei stammt laut Bitdefender ursprünglich von weit verbreiteten, legitimen Programmen wie WinRAR 5.2, WinRAR 5.11, YouTube Downloader 1.0.1, WinRAR 5.11 Final, Connectify 1.0.1, Stardock Start8 1.0.1 oder KMSPico 9.3.3 und wurde mit Hilfe von Advanced Installer manipuliert. Sie sorgt dann dafür, dass durch die geänderten Einstellungen jede Anfrage auf einer Seite, die mit https://www.google oder https://cse.google beginnt, zur IP-Adresse 93.*.*.240 über Port 8484 umgeleitet wird. Da die Anfrage über HTTPS erfolgt, werden Nutzer an dieser Stelle allerdings darauf hingewiesen, dass es Probleme mit dem Zertifikat dieser Seite gibt.
Doch auch daran haben die Kriminellen gedacht. Die Datei Update.txt lädt ein Root-Zertifikat herunter und installiert es, so dass jede Verbindung, die über eine in der PAC-Datei festgelegte Verbindung erfolgt, als sicher gekennzeichnet wird. Das Icon für das HTTPS-Protokoll in der Adressleiste des Browsers wird wie gewohnt angezeigt, um einen möglichen Verdacht der Nutzer an dieser Stelle zu zerstreuen. Lediglich wenn sie das Zertifikat prüfen – was in der Praxis aber nur sehr wenige tun –, stellen sie fest, dass als Herausgeber dort „DO_NOT_TRUST_FiddlerRoot“ angegeben ist.
[mit Material von Peter Marwan, silicon.de ]
Tipp : Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de