Троян Tubrosa «накручивает» просмотры YouTube-видео, позволяя злоумышленникам зарабатывать на рекламе.
По данным экспертов из Symantec, киберпреступники незаконным образом получают прибыль, распространяя троян Tubrosa. Попав на компьютер, вредонос направляет его на определенные YouTube-видео, тем самым «накручивая» количество просмотров. Благодаря этому популярность ролика растет, и мошенники зарабатывают на встроенной в видео рекламе немалые деньги.
Tubrosa состоит из двух компонентов, один из которых попадает на компьютер через фишинговые письма, устанавливается незадачливым пользователем, а затем загружает и запускает второй компонент. Со своего C&C-сервера троян получает список из порядка тысячи ссылок на YouTube-видео и открывает их в фоновом режиме на инфицированном компьютере.
Для того чтобы скрыть свою активность, Tubrosa выключает звук колонок. В случае, если жертва не использует Adobe Flash, троян самостоятельно загружает и устанавливает его, тем самым обеспечивая просмотр видеороликов.
«В рамках партнерской программы YouTube для проверки того, что учетная запись пользователя находится в хорошем положении, используется процесс валидации. Для обхода проверок безопасности Google вредоносное ПО динамически изменяет реферер (REFS.txt) и User Agent (UA.txt), используя два PHP-сценария. Это позволяет вредоносу маскироваться под новое соединение с серверами Google, как будто другой пользователь просматривает то же самое видео», - сообщает Symantec.
Вредоносная кампания началась в августе 2014 года и длится до сих пор. Жертвами вредоноса в основном являются пользователи в Индии, Южной Корее и Мексике.
Tubrosa состоит из двух компонентов, один из которых попадает на компьютер через фишинговые письма, устанавливается незадачливым пользователем, а затем загружает и запускает второй компонент. Со своего C&C-сервера троян получает список из порядка тысячи ссылок на YouTube-видео и открывает их в фоновом режиме на инфицированном компьютере.
Для того чтобы скрыть свою активность, Tubrosa выключает звук колонок. В случае, если жертва не использует Adobe Flash, троян самостоятельно загружает и устанавливает его, тем самым обеспечивая просмотр видеороликов.
«В рамках партнерской программы YouTube для проверки того, что учетная запись пользователя находится в хорошем положении, используется процесс валидации. Для обхода проверок безопасности Google вредоносное ПО динамически изменяет реферер (REFS.txt) и User Agent (UA.txt), используя два PHP-сценария. Это позволяет вредоносу маскироваться под новое соединение с серверами Google, как будто другой пользователь просматривает то же самое видео», - сообщает Symantec.
Вредоносная кампания началась в августе 2014 года и длится до сих пор. Жертвами вредоноса в основном являются пользователи в Индии, Южной Корее и Мексике.
Источник: securitylab.ru
Комментариев нет:
Отправить комментарий