Esta semana vamos abordar, num artigo dividido em duas partes, a família de malware Win32/Boaxxe.BE que tem como principal objectivo levar tráfego a sites de publicidade, utilizando diversas técnicas fraudulentas, e, assim, ganhar dinheiro. No primeiro destes dois textos, vamos descrever o ecossistema em torno desta operação, enquanto no segundo, vamos abordar os aspectos técnicos.
Vamos começar então por abordar a rede de afiliados que distribui binários do Win32/Boaxxe.BE e explicar posteriormente como é que se encaixam num ecossistema global de fraude baseada em cliques. Concluiremos por fim com algumas estatísticas.
A distribuição de binários
A nossa história começa em Setembro de 2013, quando um site chamado partnerka.me abriu as suas portas. O negócio deste site passa por pagar às pessoas – denominadas afiliadas – infectando os utilizadores com o malware withWin32/Boaxxe.BE.
Quando um afiliado se regista tem acesso ao painel mostrado abaixo:
A seção “News” fornece as últimas informações acerca do estado do negócio. No exemplo aqui retratado, o administrador aconselha a utilização de WebMoney como forma de pagamento.
A página “Promo” fornece ao afiliado o programa que ele terá de distribuir:
O binário está disponível tanto por download direto, como através de um endereço, actualmente na forma de “web5.asia/promos/download?token=TOKEN&sub_id=SUB-ID”. O token é um valor longo de 20 bytes que identifica o afiliado. Para além deste, pode também ser definido um valor SUB-ID, para que o afiliado possa fazer a distinção entre diferentes grupos de binários nas suas estatísticas.
Abaixo destes botões de download é mostrada a proporção de detecção dos binários por trinta e quatro aplicações anti-malware. Durante a nossa monitorização foi fornecido, por hora, um novo binário de modo a que os mesmos evitassem a detecção. Como é habitual neste tipo de “corridas”, os novos binários são apenas uma nova embalagem para o mesmo conteúdo.
Sem entrar ainda em muitos detalhes técnicos, importa salientar que cada binário contém um ID de afiliado, permitindo que o C&C credite a conta correcta do afiliado sempre que uma nova máquina é infectada. Este ID de afiliado consiste num valor longo de 2 bytes que codifica um contador, incrementado por cada nova pessoa registada. De acordo com os binários analisados, após quatro meses de actividade, foram registado cerca de quarenta novos afiliados.
Posteriormente chega a página de “Estatísticas”:
A coluna “Installs” contabiliza simplesmente o número de instalações, ao passo que o significado da coluna “Blocked” ainda não é claro. Nunca observámos uma máquina bloqueada em estado selvagem. Para entender as outras colunas, é importante verificarmos que o Win32/Boaxxe.BE implementa dois tipos diferentes de fraudes, baseadas em cliques:
Fraude iniciada por um clique do utilizador: os utilizadores que introduzem palavras-chave nos motores de busca, podem ser redirecionado para sites de publicidade relacionados. Este tipo de fraude já foi obervada em várias famílias de malware, como o Win32/TrojanDownloader.Tracur ou Win32/Goblin (aka Win32/Xpaj).
As estatísticas relacionadas com este tipo de fraude são relatadas nas seguintes colunas:
Active: número de máquinas infectadas com o Win32/Boaxxe.BE que navegaram hoje na Internet
Searches: Número de palavras-chave pesquisadas pelos utilizadores infectados
Clicks: número de reencaminhamentos concretizados
PPC Profit: dinheiro ganho pelo afiliado através de fraude iniciada por um clique do utilizador.
Fraude automatizada sem intervenção do utilizador: O Win32/Boaxxe.BE tem a capacidade de navegar silenciosamente pelos sites de publicidade, sem o conhecimento do utilizador.
As estatísticas relacionadas com este tipo de fraude são relatadas nas seguintes colunas:
Live: número de máquinas infectadas que executam a fraude automatizada
CPV Actions: Número de acções automatizadas efectuadas
CPV Lucro: Dinheiro ganho pelo afiliado através da Fraude automatizada sem intervenção do utilizador
O site também fornece um endereço para um objeto JSON contendo as estatísticas, para que o afiliado as possa processar. Curiosamente, não é feita nenhuma verificação de autenticação, aquando da chamada do objeto JSON, sendo apenas necessário o valor do token longo de 20 bytes de um afiliado, para posterior acesso. Por exemplo, podemos aceder às estatísticas de um afiliado que entrou na rede no dia 7 de dezembro, e que desde então alcançou 3.332 instalações para um lucro total PPC de cerca de 50 dólares e um lucro de CPV a rondar os 200 dólares.
Sem surpresa, as “CPV Actions” superam os Cliques, uma vez que a fraude automatizada não exige qualquer acção por parte utilizador e pode ser executada continuamente em computadores infectados.
Por fim, o site contém uma página de pagamentos e também uma página de serviços de suporte que permite criar um ticket de ajuda para o operador do site.
O Ecosistema de Fraude por clique
A imagem abaixo sintetiza os relacionamentos entre os diferentes grupos que coabitam no ecossistema Win32/Boaxxe.BE.
Como explicámos, os binários são distribuídos pelo site partnerka.me aos seus afiliados, que têm como objectivo infectar utilizadores. Uma vez infectados, esses utilizadores são forçados a navegar por vários sites de propaganda, automaticamente ou durante a sua pesquisa em motores de busca.
Para este efeito, as máquinas infectadas contactam alguns motores de busca que retornam para cada palavra-chave, sites de publicidade relacionados. Os endereços fornecidos começam então uma cadeia de redirecionamento através de sites interligados, numa relação anunciante – editor.
No final, os sites anunciados – que podem ser legítimos – pagam às redes de publicidade o tráfego que eles trouxeram. Estas redes recebem a comissão e pagam novamente aos motores de busca. Finalmente, o site partnerka.me recebe o resto do dinheiro, tira a sua parge e paga aos afiliados.
Assim, o dinheiro segue um caminho que começa no website anunciado para o afiiado responsável pela infecção do utilizador. Outra camada de complexidade neste ecossistema, parte da nossa consideração de que os binários Win32/Boaxxe.BE não são produzidos pelos proprietários do partnerka.me. Mais concrectamente, já observámos outras versões do Boaxxe em “estado selvagem”, com algumas diferenças significativas – como protecções diferentes ou diferentes implementações dos módulos – porém redirecionando para as mesmas redes de publicidade.
Estatísticas de Prevalência
O gráfico abaixo revela as detecções diárias do Win32/Boaxxe.BE desde a abertura do site partnerka.me em Setembro de 2013.
Podemos observar uma importância crescente desta família de malware, que corresponde ao aumento do número de afiliados. Os picos que ocorreram nos últimos dois meses correspondem à enorme actividade de alguns afiliados. Um deles, por exemplo, lançou uma campanha massiva de spam no final de Dezembro.
No próximo artigo apresentamos alguns detalhes técnicos acerca do Win32/Boaxxe.BE. Clique aqui para ler.
[…] prometido, cá estamos para dar continuidade ao artigo que iniciámos a semana passada, acerca da família de malware Win32/Boaxxe.BE que tem como principal objectivo levar tráfego a […]
[…] prometido, cá estamos para dar continuidade ao artigo que iniciámos a semana passada, acerca da família de malware Win32/Boaxxe.BE que tem como principal objectivo levar tráfego a […]