O ZeroAccess Botnet Volta a Ganhar Vida com o Objetivo de Extorquir Dinheiro dos Anunciantes por Meio da Atividade de Fraude de Cliques
Como em qualquer dia da vida dos hackers, marcamos outro capítulo em que os cibercriminosos encontram novas maneiras de planejar e reativar ameaças antigas, como fizeram recentemente com o popular botnet ZeroAccess.
Conhecido como um botnet inescrupuloso, o ZeroAccess retomou suas funções de anunciar ações de fraude por clique. Não apenas isso, mas o ZeroAccess, também conhecido como Sirefef, foi reativado para distribuir modelos de fraude por clique em computadores comprometidos. No total, isso significa que os sistemas já infectados pelo ZeroAccess receberam uma nova chamada de ativação dos controladores do botnet, onde podem evitar a detecção.
O número de sistemas infectados com alguma forma de ZeroAccess já foi estimado em milhões, mas diminuiu para uma base de infecção muito menor, de cerca de 55.000 sistemas. A botnet foi desativada no final de 2013, onde vimos um grande declínio no número de sistemas infectados. No entanto, desde então, muitos sistemas permaneceram infectados, onde o malware residia em um sistema aguardando atualizações de seus servidores de comando e controle.
A fraude de cliques geralmente é realizada através do uso de botnets, como neste caso o ZeroAccess é capaz de ajudar na geração de anúncios maliciosos por meio de uma rede de publicidade conhecida. Os cliques nos anúncios nesse caso não são vistos como provenientes do mesmo computador. Isso permitirá que os cliques gerem receita por meio de um método pay-per-click específico, ignorando qualquer registro de endereços IP específicos para limitar os cliques a uma determinada taxa quando houver suspeita de serem da mesma origem ou computador. Todo o esquema é bastante inteligente, um que obteve grande sucesso ao longo de muitos anos em que o ZeroAccess esteve ativo.
Ao receber novas instruções sobre os sistemas infectados pelo ZeroAccess, a botnet retomou suas ações de realização de atividades de fraude por clique, que podem ser focadas em várias campanhas de malvertising. As redes de publicidade há muito tempo são alvos de injeção de anúncios maliciosos, para que possam ser exibidos em sites legítimos, alguns dos quais são sites de alto tráfego em que muitos de nós navegam diariamente. Os objetivos da recente campanha ZeroAccess podem ser atrair os usuários de computador a clicar em anúncios maliciosos nessas redes e gerar dinheiro com cliques e um modelo de custo por clique.
A distribuição do ZeroAccess sempre foi uma epidemia generalizada, mas agora os colegas da botnet residem principalmente no Japão, constituindo 15.322 hosts (27,7% do total de infecções), Índia com 7.446 hosts (13,5% do total de infecções) e Estados Unidos com 2.540 hosts (4,6% de infecções totais). Sendo as campanhas um pouco menores e fora dos EUA, os especialistas acreditam que é uma tática evitar a detecção e evitar as agências policiais onde as operações de retirada foram bem-sucedidas no passado.
Com a reativação do ZeroAccess, os anunciantes estão em posição de perder dinheiro devido aos cliques fraudulentos mais uma vez. Os anunciantes confiam em suas redes para veicular seu inventário de anúncios e impedir que sejam abusados por cliques fraudulentos. Com o ZeroAccess de volta à cena, pode muito bem esgotar os orçamentos de muitos anunciantes e acabar custando caro às empresas, a longo prazo.