Tom's Hardware Italia
e-Gov

FBI: truffa da 14 milioni di dollari, PC della NASA infettati

L'FBI ha sgominato un'organizzazione criminale che portava avanti una truffa da quattro anni e aveva già guadagnato oltre 14 milioni di dollari. Sfruttando vulnerabilità JavaScript, i cybercriminali cambiavano le impostazioni dei DNS e reindirizzavano i click su IP stranieri in cui era presente pubblicità, da cui guadagnavano all'insaputa di tutti.

Quattro milioni di computer infettati in oltre 100 Paesi, e un bottino che supera i 14 milioni di dollari: questa è la dimensione di uno dei più grandi colpi messi a segno finora dai cyberciminali, che hanno perpetrato una truffa informatica per quattro anni senza che nessuno riuscisse a fermarli. A mettere i lestofanti in manette ci ha pensato l’FBI, con l’aiuto di TrendMicro e della polizia estone, dopo due anni di indagini serrate.

La truffa sfruttava il malware DNSChanger

La frode è stata portata avanti sfruttando le vulnerabilità JavaScript e iframe per insidiare all’interno dei server il malware conosciuto come DNSChanger che, come suggerisce il nome, è uno strumento che consente di prendere il controllo della gestione dei DNS. A questo punto venivano modificate le impostazioni dei DNS in modo tale che puntassero a indirizzi IP stranieri.

I click effettuati dagli utenti, anche su siti importanti come Amazon e iTunes, venivano reindirizzati a diverse destinazioni tramite la tecnica clickjacking, in modo da intascare una montagna di quattrini (14 milioni di dollari, appunto) manipolando l’industria multi miliardaria della pubblicità su Internet. 

“Gli ignari utenti quando effettuavano una ricerca online venivano reindirizzati verso altri siti o vedevano apparire messaggi pubblicitari che però generavano entrate per i criminali e non per gli editori legittimi”. Il malware infettava sia i computer Windows sia i Mac, e spesso non permetteva l’installazione di un antivirus.

La lista degli IP controllati da Rove Digital – Clicca per ingrandire

Fra i computer infettati, che sono stati trasformati inconsapevolmente in una sorta di botnet criminale, c’erano cento PC della NASA e altri 500 mila negli Stati Uniti, di cui molti in uso presso le associazioni governative e le aziende.

Lo schema di funzionamento del malware DNSChanger – Clicca per ingrandire

L’operazione che ha sgominato la banda criminale è stata battezzata Ghost Click e ha portato all’arresto di 6 cittadini estoni e di uno russo. Tutti erano militanti del gruppo Rove Digital, che cappeggiava diverse organizzazioni criminali estoni fra cui Esthost, Estdomains, Cernel e UkrTelegroup. Nell’operazione è stata coinvolta anche la polizia estone, ma il Federal Bureau of Investigation pretende che tutti gli accusati vengano estradati negli Stati Uniti per un processo severo e una condanna certa.