Bitdefender warnt vor Klickbetrüger-Botnetz mit 900.000 Zombie-Rechnern

Die Sicherheitsexperten von Bitdefender haben eine Analyse des seit Mitte September 2014 kursierenden Trojaners „Redirector.Paco“ und des von ihm aufgebauten Botnetzes veröffentlicht. Die etwa 900.000 infizierten Systeme stehen vor allem in Indien, Malaysia, Griechenland, den USA, Italien, Pakistan, Brasilien und Algerien, richten ihnen zufolge aber auch in anderen Ländern beträchtlichen Schaden durch Klickbetrug an.

Hat der Trojaner einen Rechner infiziert, ersetzt er dort Suchanfragen in gängigen Suchmaschinen durch eine von den Cyberkriminellen definierte Google Custom Search und leitet den Datenverkehr auf diese Weise zum Nachteil von AdSense-Kunden um. Zwar macht Bitdefender keine konkreten Angaben zu dem von dem Botnetz verursachten Schaden für Kunden von Googles Werbedienst AdSense, doch er soll ein bisher nicht gekanntes Ausmaß erreicht haben.

Laut den Bitdefender-Experten Cristina Vatamanu, Razvan Benchea und Alexandru Maximciuc führt die Malware einige „simple Registry-Änderungen“ durch. Beispielsweise modifiziert sie die Einstellungen für „AutoConfigURL“ und „AutoConfigProxy“ in den „Internet-Einstellungen“ eines Windows-Rechners. Bei jeder im Anschluss durchgeführten Suchanfrage wird dann eine PAC-Datei (Proxy Auto-Config) aufgerufen, die den Browser anweist, die Suchanfrage an eine bestimmte Adresse umzuleiten. Das bietet den Kriminellen die Möglichkeit, über Googles AdSense-Programm Geld zu verdienen. Die Geschädigten sind die Unternehmen, die über AdSense Anzeigen platzieren.

Offenbar kommt es den Klickbetrügern aber nicht darauf an, die Nutzer auszuspionieren oder Daten von ihnen zu sammeln. Stattdessen wollen sie nur deren Anfragen so lange wie möglich auf ihre Seiten umleiten. Um dies zu erreichen, unternehmen sie einiges, um die Suchergebnisse so authentisch wie möglich erscheinen zu lassen.

Dennoch gibt es Bitdefender zufolge einige Hinweise, die Nutzer Verdacht schöpfen lassen sollten. Beispielsweise werden unter Umständen in der Statusleiste des Browsers Nachrichten wie „Waiting for proxy tunnel“ oder „Downloading proxy script“ angezeigt. Außerdem dauere es ungewöhnlich lange, bis die Google-Seite geladen werde, und fehlten die bei der echten Google-Suche über den Seitenzahlen der Suchtrefferliste angezeigten mehreren gelben „o“.

ANZEIGE

Die Cloud forciert Innovationen

Ohne Cloud-Technologie sähe der Alltag heute ganz anders aus. Dropbox, Facebook, Google und Musikdienste gäbe es nicht. Erst Cloud-Technologien haben diese Services ermöglicht und treiben heute Innovationen schneller denn je voran.

Die Malware gelangt üblicherweise über eine modifizierte MSI-Datei auf den Rechner. Diese Installationsdatei stammt laut Bitdefender ursprünglich von weit verbreiteten, legitimen Programmen wie WinRAR 5.2, WinRAR 5.11, YouTube Downloader 1.0.1, WinRAR 5.11 Final, Connectify 1.0.1, Stardock Start8 1.0.1 oder KMSPico 9.3.3 und wurde mit Hilfe von Advanced Installer manipuliert. Sie sorgt dann dafür, dass durch die geänderten Einstellungen jede Anfrage auf einer Seite, die mit https://www.google oder https://cse.google beginnt, zur IP-Adresse 93.*.*.240 über Port 8484 umgeleitet wird. Da die Anfrage über HTTPS erfolgt, werden Nutzer an dieser Stelle allerdings darauf hingewiesen, dass es Probleme mit dem Zertifikat dieser Seite gibt.

Doch auch daran haben die Kriminellen gedacht. Die Datei Update.txt lädt ein Root-Zertifikat herunter und installiert es, so dass jede Verbindung, die über eine in der PAC-Datei festgelegte Verbindung erfolgt, als sicher gekennzeichnet wird. Das Icon für das HTTPS-Protokoll in der Adressleiste des Browsers wird wie gewohnt angezeigt, um einen möglichen Verdacht der Nutzer an dieser Stelle zu zerstreuen. Lediglich wenn sie das Zertifikat prüfen – was in der Praxis aber nur sehr wenige tun –, stellen sie fest, dass als Herausgeber dort „DO_NOT_TRUST_FiddlerRoot“ angegeben ist.

Redirector.Paco ist auch an dem falschen Zertifikat erkennbar (Screenshot: Bitdefender).

[mit Material von Peter Marwan, silicon.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago