Sicurezza

Truffa con AdSense: un milione di PC per rubare i clic

Fare soldi con la pubblicità su Internet è facile: basta aderire ad AdSense, creare il proprio blog, riempirlo di contenuti interessanti e attirare milioni di persone.

Ok, forse non è così facile… ma c’è un metodo sicuramente più semplice: farsi la propria botnet e usare i PC infetti per generare traffico sulle pagine con le pubblicità.

A scegliere questa “scorciatoia” è stato un gruppo di cyber-criminali che sono riusciti a infettare quasi un milione di computer con il trojan Redirector.Paco.

mappa
I computer colpiti si trovano prevalentemente in Italia, India, Malesia, Grecia, Stati Uniti, Pakistan, Brasile e Algeria.

A scoprire l’operazione è stata BitDefender, che sul suo blog spiega i dettagli della vicenda. Il trojan, diffuso fin dal settembre 2014, esegue alcune semplici modifiche nel registro di sistema del computer, forzando il computer a una configurazione alternativa del proxy.

In questo modo, ogni volta che la vittima cerca di collegarsi al motore di ricerca di Google viene in realtà dirottato su un server controllato dai pirati informatici che fornisce come risultati della ricerca i link ai siti da loro controllati.

Il sistema prevede anche l’utilizzo di un falso certificato digitale, che permette il collegamento tramite protocollo sicuro HTTPS.

Un modo per accorgersi dell’inghippo, in realtà c’è: controllando il certificato si scopre che sarebbe stato rilasciato da DO_NOT_TRUST_FiddlerRoot, ovvero tramite Fiddler, un programma usato come debugger (o sniffer) in grado di rilasciare certificati digitali per permettere ai programmatori di testare alcune funzioni mentre si scrive codice.

 

certificato
Nel collegamento non si nota nulla, ma se si controlla il certificato è facile rendersi conto che qualcosa non va.

A parte questo, gli unici sintomi che possono indicare qualche anomalia nel collegamento si limitano a tempi più lunghi per il caricamento dei risultati e, in qualche caso, alla comparsa di messaggi di stato del tipo “Waiting for proxy tunnel” o “Downloading proxy script”.

Altre versioni del trojan utilizzano un attacco del tipo “Man In The Middle” per dirottare i dati quando la vittima cerca di collegarsi a Google, Bing o Yahoo. La tecnica in questo caso è diversa, ma il risultato è lo stesso.

Resta da capire quale possa essere stato il danno per Google: quanto si può guadagnare dirottando le ricerche di 1 milione di computer per quasi 2 anni?