Botnet boosts criminals' revenues from Google
Dan Goodin, The Register 2009-10-09
Theo: http://www.securityfocus.com/news/11561
Bài được đưa lên Internet ngày: 09/10/2009
Lời người dịch: Lại một Botnet mới nữa, gọi là Bahama Botnet, tấn công tập trung vào giỡn mặt 3 ông lớn với các máy tìm kiếm hàng đầu thế giới là của Google, Yahoo và Bing của Microsoft. Như vậy là các tin tặc bây giờ đang thực sự thách thức các ông lớn về IT, chứ không phải những site, về mặt IT mà nó, chỉ đáng là của những đứa trẻ còn hay tè dầm. “Liệu Bahama Botnet có lớn lên hay không, nó có đáng để xem hay không thì phải chờ xem cách mà những người khổng lồ đang ngủ này trả lời ra sao”.
Một botnet được phát hiện gần đây truyền thu nhập quảng cáo từ Google, Yahoo! Và Bing rồi đi tới các mạng nhỏ hơn.
Theo các nhà nghiên cứu tại Click Forensics, các máy tính mà là một phần của cái gọi là Bahama Botnet bị lây nhiễm với các phần mềm độc hại mà chúng gửi các máy tính đó tới các trang tìm kiếm giả mạo thay vì những thứ thật. Chúng giống như được xác thực và với sự trợ giúp của các thủ tục đầu độc DNS, chúng còn hiển thị google.com, yahoo.com hoặc bing.com trong thanh địa chỉ.
Nhưng các kết quả tìm kiếm được trả lại bởi các site giả mạo này đã bị đánh bẫy theo một vài cách đáng kể. Trong khi các đường liên kết chứa đựng trong các kết quả cuối cùng dẫn tới một site thực sự, thì các trình duyệt trước hết lại được định tuyến tới một loạt các mạng quảng cáo mà chúng nhận được một phí tham chiếu nhỏ. Các liên kết được tài trợ, mà chúng thường trả cho thời gian của mỗi tìm kiếm thực sự mà chúng được nháy vào, cũng bị lừa gạt sao cho một mạng quảng cáo nhỏ hơn phải trả tiền thay.
“Ý tưởng này là để kiếm tiền thông qua sự giả mạo của việc nháy chuột”, Matt Graham, một nhà phân tích rủi ro tại Click Forensics mà cung cấp các dịch vụ kiểm toán cho các nhà quảng cáo. “Khi những người này thực sự tiến hành tìm kiếm, thì đó là khi những chú nhóc này có thể hiển thị các quảng cáo được ẩn dấu trong các kết quả tìm kiếm cơ bản”.
Như video này trình bày, các website giả mạo chính xác là nhìn giống hệt như Google, Yahoo hoặc Bing thực. Nhưng các công cụ phân tích giao thông chỉ ra cho máy tính bị lây nhiễm thực sự được kết nối tới một máy chủ của kẻ lừa đảo với địa chỉ IP là 64.86.17.56. Site giả mạo này thực sự kéo các kết quả từ máy tìm kiếm mà nó lừa gạt trước khi chúng được chữa trị, giúp cho sự ảo tưởng rằng mọi thứ vẫn cứ tiếp diễn. Một người phát ngôn của Google nói: “Chúng tôi đang thanh tra và giám sát vấn đề này cũng như khi chúng tôi thanh tra và giám sát nhiều botnet và hệ thống khác mỗi ngày”. Một người phát ngôn của Microsoft thì đã từ chối bình luận và các đại diện của Yahoo đã không trả lời khi bài này được viết.
Bahama Botnet, được đặt tên vì nó ban đầu đã sử dụng các máy chủ bị tổn thương từ công ty đó, đã có liên quan trong các quảng cáo chống virus giả mạo mà gần đây đã được thấy cách của chúng trên website của tờ New York Times. Nó cũng còn được biết vì sự bí ẩn của nó về các kỹ thuật tối ưu hóa máy tìm kiếm mà nó gửi mọi người tới các website độc hại khi chúng tìm kiếm các chủ đề sự kiện hiện hành.
Bây giờ, thay vì tấn công các chú lính trung bình với sự vệ sinh máy tính cá nhân sũng sượt, thì nó chuyển lên 3 máy tìm kiếm lớn nhất thế giới. Graham nói số lượng các máy tính bị lây nhiễm mà ông đã quan sát được là khoảng hàng ngàn. Và điều đó gợi ý về số lượng thiệt hại vẫn còn khá khiêm tốn. Liệu Bahama Botnet có lớn lên hay không, nó có đáng để xem hay không thì phải chờ xem cách mà những người khổng lồ đang ngủ này trả lời ra sao.
A recently discovered botnet has been caught siphoning ad revenue away from Google, Yahoo! and Bing and funneling it to smaller networks.
According to researchers at Click Forensics, computers that are part of the so-called Bahama Botnet are infected with malware that sends them to counterfeit search pages instead of the real thing. They look authentic, and with the help of DNS poisoning routines, they even display google.com yahoo.com or bing.com in the address bar.
But the search results returned by these bogus sites have been ginned in some significant ways. While links contained in the organic results ultimately lead to a real site, browsers are first redirected to a series of ad networks that receive a small referral fee. Sponsored links, which typically pay the real search engine each time they are clicked, have also been jury rigged so a smaller ad network gets paid instead.
"The idea is to make money through click fraud," said Matt Graham, a risk analyst at Click Forensics that provides auditing services to advertisers. "When those people actually do searches, that's when these guys can display these ads hidden in the organic search results."
As this video demonstrates, the faux websites have precisely the same look and feel as the real Google, Yahoo or Bing. But traffic analysis tools show the infected computer is really connected to an impostor server with the IP address of 64.86.17.56. The counterfeit site actually pulls the results from the search engine it's spoofing before they're doctored, furthering the illusion that everything is on the up and up.
A Google spokeswoman said: "We are investigating and monitoring this issue just as we investigate and monitor many other botnets and schemes every day." A Microsoft spokesman declined to comment and representatives from Yahoo hadn't responded by time of writing.
The Bahama Botnet, so named because it initially used compromised servers from that country, has already been implicated in the rogue anti-virus ads that recently found their way onto the website of The New York Times. It's also been known for its mastery of search engine optimization techniques that send people to malicious websites when they search for current events topics.
Now, instead of attacking average joes with sloppy PC hygiene, it's turning on three of the world's biggest search engines. Graham said the number of infected machines he's observed is in the thousands. And that suggests the amount of damage is still relatively modest. Should the Bahama Botnet grow, it will be worth watching to see how these sleeping giants respond.
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.