Quattro milioni di computer infettati in oltre 100 Paesi, e un bottino che supera i 14 milioni di dollari: questa è la dimensione di uno dei più grandi colpi messi a segno finora dai cyberciminali, che hanno perpetrato una truffa informatica per quattro anni senza che nessuno riuscisse a fermarli. A mettere i lestofanti in manette ci ha pensato l'FBI, con l'aiuto di TrendMicro e della polizia estone, dopo due anni di indagini serrate.
La truffa sfruttava il malware DNSChanger
La frode è stata portata avanti sfruttando le vulnerabilità JavaScript e iframe per insidiare all'interno dei server il malware conosciuto come DNSChanger che, come suggerisce il nome, è uno strumento che consente di prendere il controllo della gestione dei DNS. A questo punto venivano modificate le impostazioni dei DNS in modo tale che puntassero a indirizzi IP stranieri.
I click effettuati dagli utenti, anche su siti importanti come Amazon e iTunes, venivano reindirizzati a diverse destinazioni tramite la tecnica clickjacking, in modo da intascare una montagna di quattrini (14 milioni di dollari, appunto) manipolando l'industria multi miliardaria della pubblicità su Internet.
"Gli ignari utenti quando effettuavano una ricerca online venivano reindirizzati verso altri siti o vedevano apparire messaggi pubblicitari che però generavano entrate per i criminali e non per gli editori legittimi". Il malware infettava sia i computer Windows sia i Mac, e spesso non permetteva l'installazione di un antivirus.
La lista degli IP controllati da Rove Digital - Clicca per ingrandire
Fra i computer infettati, che sono stati trasformati inconsapevolmente in una sorta di botnet criminale, c'erano cento PC della NASA e altri 500 mila negli Stati Uniti, di cui molti in uso presso le associazioni governative e le aziende.
Lo schema di funzionamento del malware DNSChanger - Clicca per ingrandire
L'operazione che ha sgominato la banda criminale è stata battezzata Ghost Click e ha portato all'arresto di 6 cittadini estoni e di uno russo. Tutti erano militanti del gruppo Rove Digital, che cappeggiava diverse organizzazioni criminali estoni fra cui Esthost, Estdomains, Cernel e UkrTelegroup. Nell'operazione è stata coinvolta anche la polizia estone, ma il Federal Bureau of Investigation pretende che tutti gli accusati vengano estradati negli Stati Uniti per un processo severo e una condanna certa.