Un bot millionnaire substitue les résultats de recherche

D’après des chercheurs roumains, au cours d’une période de 18 mois, le malware Windows, détecté par Bitdefender comme Redirector.Paco, a infecté plus de 900 000 ordinateurs (IP), principalement en Inde, en Malaisie, en Grèce, aux Etats-Unis, en Italie, au Pakistan, au Brésil et en Algérie. Ce trojan vise principalement à rediriger les recherches des victimes et remplacer les résultats par des publicités pour lesquelles les opérateurs sont payés.

D’après Softpedia, sur la base d’informations fournies par des experts, Paco est apparu sur Internet au milieu du mois de septembre 2014/ L’infection débute par le téléchargement par l’utilisateur d’un paquet d’installation modifié d’une application très souvent utilisée comme : WinRAR, YouTube Downloader, Connectify, KMSPico ou Stardock Start8. Pour garantir la présence permanente du malware dans la liste des tâches planifiées, de fausses versions d’Adobe Flash Scheduler et d’Adobe Flash Update sont ajoutées afin de garantir l’exécution des composants malveillants (scripts) à chaque accès de l’utilisateur au système ou selon un horaire défini.

Un de ces composants modifie les paramètres Internet pour l’utilisateur actif et pour cela, il commence par désactiver le cache du serveur proxy. Ainsi, chaque fois que l’utilisateur envoie une requête à Google, Bing ou Yahoo, c’est un fichier PAC (configuration automatique du proxy) sur une ressource tierce qui est contacté. Le navigateur, sur la base du contenu de ce fichier, redirige le trafic vers une autre adresse. De fausses pages de résultats de recherche, générées par le système de recherche utilisateur de Google (Custom Search Engine) installé sur les sites des individus malintentionnés, sont affichées.

Pour contourner l’avertissement du système sur l’erreur en cas d’utilisation du protocole HTTPS, un des composants installés du trojan charge et installe son certificat racine, ce qui permet de masquer les fausses pages à l’aide de certificats SSL générés sur place. Le journaliste de Softpedia indique que la substitution peut être détectée en cliquant sur l’icône du cadenas dans la barre d’adresse du navigateur. De plus, les faux résultats de recherche sont trahis par l’absence du logo de la société (Google) en bas de la page, ainsi que par la lenteur du chargement pendant lequel le message « Waiting for proxy tunnel » (en attente de la création du tunnel proxy) ou « Downloading proxy script » (téléchargement du script du serveur proxy) apparaît dans la barre d’état du navigateur.

Les chercheurs ont également découvert un autre composant du trojan qui permet de modifier les résultats de la recherche localement, sans l’aide d’un serveur externe. Pour ce faire, le malware lance un service MitM via une bibliothèque dynamique FiddlerCore connectée et un serveur HTTP qui proposer le fichier PAC au navigateur.

Il se fait que le seul objectif de ces astuces est d’obtenir un paiement pour la participation au programme AdSense for Search lancé par Google pour les propriétaires de sites Internet. Ce programme permet d’installer sur le site un système de recherche personnalisé qui affiche des pages avec des publicités contextuelles. Pour chaque clic d’un visiteur sur l’annonce publicitaire affichée parmi les résultats de recherche, le propriétaire du site reçoit une commission. Dans le cas qui nous occupe, les individus malintentionnés ont simplement utilisé cette possibilité pour rentabiliser le réseau de zombies.

Fonte: Softpedia

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *