AdSense: 1 milhão de computadores invadidos em todo o mundo
Um grupo de criminosos virtuais já infectou 1 milhão de computadores em todo o mundo ao longo dos últimos 2 anos com um pedaço de malware que sequestra páginas de resultados de pesquisa usando um proxy local.
Os pesquisadores de segurança da empresa de segurança BitDefender (baseada na Romênia) revelaram a presença desse click-fraud-botnet (redes de computadores infectados com malware concebido para assumir o controle do sistema infectado sem o conhecimento do proprietário), e que os investigadores vêm chamando de "Campanha Milhão-de-Máquinas". O malware em questão é conhecido como Redirector.Paco e que, por si só, já infectou mais de 900.000 máquinas em todo o mundo desde o seu lançamento em 2014. O cavalo-de-troia Redirector.Paco infecta os usuários quando eles baixam e instalam versões enfermas de programas de software populares, como o WinRAR, YouTube Downloader, KMSPico, Connectify, ou Stardock Start8. Uma vez infectado, Paco modifica chaves do Registro local do computador e adiciona duas novas entradas disfarçados de "Adobe flash Update" e "Adobe flash Scheduler", para se certificar de que o malware começa depois de cada boot. Além disso, o malware traz arquivos JavaScript que baixam e executa um arquivo PAC (Proxy Auto Configuration), que seqüestra todo o tráfego web , garantindo vias de tráfego através de um servidor controlado pelo invasor.
Mecanismos de Busca exibem resultados falsos mesmo em conexões HTTPS
Paco então intercepta todo o tráfego Web proveniente do computador infectado e procura por consultas feitas sobre os motores de busca populares, como Google, Bing ou Yahoo! e substitui os resultados reais com páginas Web falsas, imitando sua interface de usuário real.
O botnet tem a capacidade de redirecionar resultados de pesquisas, mesmo quando os resultados são servidos através de conexões HTTPS criptografadas. Para fazer isso, o malware utiliza um certificado raiz livre - DO_NOT_TRUST_FiddlerRoot - evitando que seu navegador mostre erros HTTPS.
"O objetivo é ajudar os ciber-criminosos ganhar dinheiro com o programa AdSense", disse o analista da BitDefender, Alexandra Gheorghe em um post de blog: "O AdSense do Google coloca anúncios contextualmente relevantes em páginas e ações de resultados de pesquisa do motor de busca, personalizado uma parte da sua receita de publicidade com os parceiros do AdSense."
Embora o malware tenta fazer com que os resultados da pesquisa parecem autênticos, alguns marcadores podem levantar suspeitas, como mensagens que mostram "aguardar pelo túnel do proxy" ou "Baixando script de proxy" na barra de status do navegador da web.
Além disso, o motor de busca leva mais tempo que o normal para carregar resultados, e os típicos caracteres amarelos 'O' no Google acima dos números de página não são apresentados, de acordo com pesquisadores. A empresa de segurança diz que a maioria das vítimas são da Índia, Malásia, Grécia, Estados Unidos, Itália, Paquistão , Brasil e Argélia.
