Trojanac Magala krišom klikće na oglase u rezultatima pretrage

Opisi virusa, 13.07.2017, 10:00 AM

Zlatno doba trojanaca i virusa je davno prošlo vreme. Zlonamerni programi koje su pravili istraživači entuzijasti i oni za koje je to bila zabava su prošlost. Oni su zamenjeni programima koji se prave sa jednim jedinim ciljem - da zarade novac.

Ako ostavimo po strani ciljane napade koji su delo profesionalaca i koji imaju vrlo specifične ciljeve, najčešće vrste malvera o kojima danas slušamo jesu kripto-malveri i DDoS bot mreže sastavljene od IoT uređaja. Obe vrste pretnji su veoma profitabilne za sajber kriminalce i relativno se lako primenjuju. Ali one nisu jedine pretnje koje mogu da donesu zaradu sajber kriminalcima. Ne treba zanemariti ni vrlo brojnu porodicu graničnih malvera kojoj pripadaju reklamni botovi i moduli i partnerski programi koji se svi obično zovu potencijalno neželjeni programi (PUA/PUP). Oni su granični jer je tanka linija između klasifikovanja programa kao adware i definisanja istog programa kao trojanca.

Malver Magala na koga su upozorili istraživači kompanije Kaspersky Lab je upravo takav "otpadnik", koji je prešao granice "fer igre" kada je reč o oglašavanju.

Magala potpada pod kategoriju trojanca "clickera" koji imitiraju klikove korisnika na određenoj web stranici, čime se povećava broj klikova na oglase. Magala ne utiče na korisnike, osim što troši resurse inficiranog računara. Glavne žrtve su oni koji plaćaju reklame - obično je reč o vlasnicima malih firmi koji posluju sa beskrupuloznim oglašivačima.

Magala najpre proverava koja verzija Internet Explorera je instalirana na sistemu. Ako je u pitanju verzija 8 ili starije, trojanac se neće pokrenuti. Ako nađe željenu verziju browsera, pokreće se virtuelni desktop na kome se obavljaju sve dalje aktivnosti. Instalira se Maps Galaxy, toolbar koji menja početnu stranicu IE sa MyWay (hp.myway.com), endžin koji koristi Googeovu tehnologiju pretrage.

Trojanac zatim kontaktira komandno-kontrolni server (C&C server) sa koga preuzima tekstualni fajl koji sadrži listu sa rečima. Magala će ove reči tražiti preko MyWay web sajta koji je sada početna stranica Internet Explorera.

Kada se učitaju rezultati pretrage, Magala će kliknuti na prvih deset rezultata pretrage od kojih su neki promovisani oglasi. Magala sve ovo obavlja preko Windows IHTMLDocument2 interfejsa, mehanizma koji omogućava programima pristupanje web stranicama.

Magala zarađuje svaki put kada inficirani računar klikne na promovisane oglase.

"Koliko mi znamo, prosečna cena klika u kampanji kao što je ova je 0,07 dolara. Cena hiljadu klikova je 2,2 dolara", kaže Sergej Junakovski iz Kaspersky Laba. On je procenio da oni koji stoje iza ove kampanje mogu da zarade do 350 dolara od svakog inficiranog računara.