HTTPS劫持点击欺诈僵尸网络感染了近100万台电脑
在过去的两年里,一群网络犯罪分子已经感染了近100万台计算机,恶意软件劫持了搜索结果,即使它们在加密的HTTPS连接中提供了。
根据安全公司Bitdefender的研究人员,点击欺诈僵局通过Google“S Adsense进行了搜索计划即可获得创作者资金。适用于网站所有者的联盟计划允许他们在其网站上放置一个Google供电的自定义搜索引擎,以在用户点击搜索结果中显示的广告时生成收入。
此僵尸网络的操作员拦截由用户在自己的计算机上执行的谷歌,Bing和Yahoo搜索,而不是这样做,而是通过自定义搜索引擎生成的那些替换合法结果。他们使用Bitdefender产品被检测为Redirector.Paco的恶意软件程序来执行此操作。
自2014年9月中旬以来,Redirector.Paco感染了全球90多台电脑,主要来自印度,马来西亚,希腊,美国,意大利,巴基斯坦,巴西和阿尔及利亚,该研究人员在周一的博客帖子中说。
恶意软件包含在众所周知的程序中的修改安装程序中,例如WinRAR,Connectify,YouTube下载器,Stardock Start8和KMSPICO,它们在Internet上分发。一旦安装在计算机上,Redirector.Paco修改其Internet设置以使用PAC(Proxy Auto-Config)文件中的攻击者指定的Web代理服务器。
恶意软件有两个变体:PAC文件和代理在远程服务器上托管的一个变体,以及它们在本地计算机上托管的位置。在这两种情况下,恶意软件在计算机的证书商店中安装了一个自生根证书,以便为谷歌,雅虎和Bing生成被受害者浏览器所接受的rogue证书。
这基本上是一个中间人攻击。代理建立了与实际搜索引擎的连接,将结果与攻击者“自定义搜索引擎进行自定义搜索引擎,重新加密页面,为域名进行自我生成的SSL证书,然后向用户服务浏览器。域证书由在计算机上安装的现在可信的Rogue根证书签名,因此在没有错误的情况下被接受。
对于PAC文件和代理存储在远程服务器上的版本,此整个过程引入了明显的延迟,用户通常会看到浏览器状态栏中“等待代理隧道”或“下载代理脚本”等消息Bitdefender研究人员说。
另一个在.NET中编写的其他版本在计算机上安装了中间的代理服务器,因此其对浏览体验的影响并不明显。HTTPS拦截功能由名为FIDDlercore的第三方.NET库提供。
与Superfish不同,在2014年在一些联想笔记本电脑上运送的广告注射程序,Redirector.Paco在Bitdefender研究人员表示,在每个受感染的计算机上安装唯一的根证书。
这意味着其他攻击者可以从一个受感染的计算机中提取证书的私钥,然后使用它来启动对受恶意软件影响的所有用户的中间人攻击。