Le business de la publicité en ligne brasse des millions. Et quand un malware spécialisé s’y attaque, ça fait très mal. Les auteur du redoutable botnet de fraude au clic “Redirector.Paco” font fortune depuis 2014. Bitdefender Labs alerte sur le danger.
Cela fait plus de 2 ans qu’un groupe de cybercriminels génèrent d’incroyables bénéfices sans rien faire grâce à leur outil malveillant d’une extrême performance baptisé Redirector.Paco. Son but ? Remplacer les résultats de recherche classiques par ceux d’un programme publicitaire rémunérateur, en l’occurrence celui de Google Adsense. C’est donc là un immense botnet dédié à la fraude massive au clic sponsorisé par injection. On parle ici au bas mot d’un million de victimes dans le monde, autant dire que le détournement de liens vaut de l’or pour les pirates…
Le concept est simple et en même temps ultime : les cybercriminels à l’origine de Redirector.Paco ont fait en sorte que le malware qui, une fois installé sur un ordinateur, va remplacer les résultats naturels des moteurs de recherche par des résultats sponsorisés rémunérateurs générés par le programme publicitaire Google Adsense, notamment en modifiant les paramètres de connexion Internet des machines ciblée et ajouter un proxy sur-mesure qui intercepte et filtre l’ensemble du trafic Web (hijack). Pour survivre de manière durable sur les machines infectées, le cheval de Troie va créer de nouvelles clés dans le registre en se faisant passer pour Adobe Flash Player : Adobe Flash Update et Adobe Flash Scheduler.
Le malware va encore plus loin dans la sophistication pour garantir un taux de succès phénoménal et pour passer inaperçu au sein des systèmes, même via l’utilisation d’une connexion sécurisée SSL/HTTPS. Il ajoute pour cela lors de son installation sur la machine un certificat racine auto-généré capable de générer de faux certificats de sécurité pour les moteurs de recherches. La tromperie vaut des millions d’euros et ils empochent le jackpot !
Et il n’y a pas que les gains qui sont hors-norme. Et pour cause, l’étude révèle un mode de propagation quasi insensé : Pour distribuer massivement leur malware, les cybercriminels ont réussi a l’intégrer à des installateurs légitimes modifiés de programmes de renommée internationale tels que WinRar, YouTube Downloader, Connectify, Stardock Start8 ou encore KMSPico.
D’après l’étude publiée par les laboratoires Bitdefender, les pays les plus touchés seraient l’Inde, la Malaisie, les Etats-Unis, le Brésil, la Grèce, l’Italie mais aussi l’Algérie. Le botnet spécialisé dans la fraude au clic publicitaire gère aujourd’hui les moteurs de recherche populaires tels que Google, Bing et Yahoo, en proposant des clones exactes des pages de résultats respectives.
Veillez à bien avoir un logiciel antivirus à jour sur votre ordinateur !
Source : Bitdefender Labs