Bitdefender warnt vor Klickbetrüger-Botnetz mit 900.000 Zombie-Rechnern

Aufgebaut wurde es durch den seit September 2014 kursierenden Trojaner Redirector.Paco. Dieser ersetzt Suchanfragen durch eine von den Hintermännern definierte Google Custom Search und lenkt so den Datenverkehr zum Nachteil von Google-AdSense-Kunden um. Der Schaden soll ein bisher nicht gekanntes Ausmaß erreichen.

Die Sicherheitsexperten von Bitdefender haben eine Analyse des seit Mitte September 2014 kursierenden Trojaners „Redirector.Paco“ und des von ihm aufgebauten Botnetzes veröffentlicht. Die etwa 900.000 infizierten Systeme stehen vor allem in Indien, Malaysia, Griechenland, den USA, Italien, Pakistan, Brasilien und Algerien, richten ihnen zufolge aber auch in anderen Ländern beträchtlichen Schaden durch Klickbetrug an.

Malware (Bild: Shutterstock)Hat der Trojaner einen Rechner infiziert, ersetzt er dort Suchanfragen in gängigen Suchmaschinen durch eine von den Cyberkriminellen definierte Google Custom Search und leitet den Datenverkehr auf diese Weise zum Nachteil von AdSense-Kunden um. Zwar macht Bitdefender keine konkreten Angaben zu dem von dem Botnetz verursachten Schaden für Kunden von Googles Werbedienst AdSense, doch er soll ein bisher nicht gekanntes Ausmaß erreicht haben.

Laut den Bitdefender-Experten Cristina Vatamanu, Razvan Benchea und Alexandru Maximciuc führt die Malware einige „simple Registry-Änderungen“ durch. Beispielsweise modifiziert sie die Einstellungen für „AutoConfigURL“ und „AutoConfigProxy“ in den „Internet-Einstellungen“ eines Windows-Rechners. Bei jeder im Anschluss durchgeführten Suchanfrage wird dann eine PAC-Datei (Proxy Auto-Config) aufgerufen, die den Browser anweist, die Suchanfrage an eine bestimmte Adresse umzuleiten. Das bietet den Kriminellen die Möglichkeit, über Googles AdSense-Programm Geld zu verdienen. Die Geschädigten sind die Unternehmen, die über AdSense Anzeigen platzieren.

Offenbar kommt es den Klickbetrügern aber nicht darauf an, die Nutzer auszuspionieren oder Daten von ihnen zu sammeln. Stattdessen wollen sie nur deren Anfragen so lange wie möglich auf ihre Seiten umleiten. Um dies zu erreichen, unternehmen sie einiges, um die Suchergebnisse so authentisch wie möglich erscheinen zu lassen.

Dennoch gibt es Bitdefender zufolge einige Hinweise, die Nutzer Verdacht schöpfen lassen sollten. Beispielsweise werden unter Umständen in der Statusleiste des Browsers Nachrichten wie „Waiting for proxy tunnel“ oder „Downloading proxy script“ angezeigt. Außerdem dauere es ungewöhnlich lange, bis die Google-Seite geladen werde, und fehlten die bei der echten Google-Suche über den Seitenzahlen der Suchtrefferliste angezeigten mehreren gelben „o“.

ANZEIGE

Die Cloud forciert Innovationen

Ohne Cloud-Technologie sähe der Alltag heute ganz anders aus. Dropbox, Facebook, Google und Musikdienste gäbe es nicht. Erst Cloud-Technologien haben diese Services ermöglicht und treiben heute Innovationen schneller denn je voran.

Die Malware gelangt üblicherweise über eine modifizierte MSI-Datei auf den Rechner. Diese Installationsdatei stammt laut Bitdefender ursprünglich von weit verbreiteten, legitimen Programmen wie WinRAR 5.2, WinRAR 5.11, YouTube Downloader 1.0.1, WinRAR 5.11 Final, Connectify 1.0.1, Stardock Start8 1.0.1 oder KMSPico 9.3.3 und wurde mit Hilfe von Advanced Installer manipuliert. Sie sorgt dann dafür, dass durch die geänderten Einstellungen jede Anfrage auf einer Seite, die mit https://www.google oder https://cse.google beginnt, zur IP-Adresse 93.*.*.240 über Port 8484 umgeleitet wird. Da die Anfrage über HTTPS erfolgt, werden Nutzer an dieser Stelle allerdings darauf hingewiesen, dass es Probleme mit dem Zertifikat dieser Seite gibt.

Doch auch daran haben die Kriminellen gedacht. Die Datei Update.txt lädt ein Root-Zertifikat herunter und installiert es, so dass jede Verbindung, die über eine in der PAC-Datei festgelegte Verbindung erfolgt, als sicher gekennzeichnet wird. Das Icon für das HTTPS-Protokoll in der Adressleiste des Browsers wird wie gewohnt angezeigt, um einen möglichen Verdacht der Nutzer an dieser Stelle zu zerstreuen. Lediglich wenn sie das Zertifikat prüfen – was in der Praxis aber nur sehr wenige tun –, stellen sie fest, dass als Herausgeber dort „DO_NOT_TRUST_FiddlerRoot“ angegeben ist.

Redirector.Paco ist auch an dem falschen Zertifikat erkennbar (Screenshot: Bitdefender).Redirector.Paco ist auch an dem falschen Zertifikat erkennbar (Screenshot: Bitdefender).

[mit Material von Peter Marwan, silicon.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Bitdefender, Malware

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Björn Greif
Autor: Björn Greif
Redakteur ZDNet.de
Björn Greif
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Bitdefender warnt vor Klickbetrüger-Botnetz mit 900.000 Zombie-Rechnern

Kommentar hinzufügen
  • Am 18. Mai 2016 um 16:35 von dinoo

    Hm, soweit so gut. Jetzt weiß ich allerdings immer noch nicht wie man das wieder los wird.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *