Na segunda-feira, 22 de outubro, ocorreu uma ação de desmantelamento que envolveu forças policiais em todo o mundo. O nome de código foi “3ve” e o principal objetivo passa por combater a fraude com anúncios on-line. Agora e no passado dia 27 de novembro de 2018, surgiram 13 acusações contra oito réus. Destes, três estão sob custódia e aguardam extradição.
As campanhas de anúncios fraudulentas têm atormentado o ecossistema de publicidade na Internet há anos. O principal problema é que retira as receitas de publicidade de empresas legítimas. A base é sempre a mesma: o software imita o comportamento do utilizador para simular que pessoas reais estão a dar cliques em ligações ou a visualizar anúncios online, embora na prática seja um comportamento malicioso e automatizado.
Existem ainda outras estratégias…
Outra grande campanha de fraude publicitária foi a Stantinko, que “sequestrou” os cliques dos utilizadores para redirecioná-los para publicidade à escolha dos criminosos. No caso do 3ve, os utilizadores navegavam por anúncios sem o conhecimento dos utilizadores afetados.
Um aspecto crítico para fazer com que estes esquemas funcionem e ignorar as medidas existentes de proteção contra fraudes de anúncios é garantir que as solicitações falsas sejam provenientes de utilizadores legítimos através de um grande pool de endereços IP. O 3ve dependia de, pelo menos, duas botnets diferentes para ter acesso a esse pool: Boaxxe e Kovter. Uma vez que os investigadores da ESET investigaram ativamente estas duas botnets no passado, foi possível auxiliar na operação contra o 3ve fornecendo dados técnicos para a aplicação da lei. É claro que uma operação desta escala exige a colaboração de diferentes parceiros do setor, cada qual fornecendo os seus próprios conhecimentos para melhor entender e impedir a ameaça.
O US-CERT publicou um alerta destacando o comportamento controlado pela botnet do 3ve e como ele interage com os botnets Boaxxe e Kovter. Ele também apresenta medidas de precaução para evitar ser afetado, em primeiro lugar, pelas duas últimas ameaças de malware. Se está preocupado com a possibilidade do seu sistema Windows ter sido comprometido por esta ameaça e não é um cliente ESET, faça o download e utilize o ESET Online Scanner gratuito, que vai remover todas as ameaças, incluindo o Kovter e o Boaxxe, que se possam encontrar no sistema.
Neste artigo do blog, vamos explicar como obtivemos os dados técnicos acerca da infraestrutura do Boaxxe e do Kovter necessário para ajudar na operação de interrupção.
Boaxxe
Já publicámos uma análise detalhada a esta botnet num artigo de duas partes em 2014. Nessa altura, o Boaxxe, também conhecido como Miuref, estava a redirecionar o tráfego de utilizadores reais para links controlados. Mais especificamente, quando uma vítima procurava por uma determinada palavra-chave num motor de busca popular, ele redirecionava o clique do resultado da pesquisa das vítimas para um site controlado em vez dos sites apresentados pelo motor de busca. Isto foi possível utilizando uma extensão do browser Firefox ou Chrome ou através do Internet Explorer no modo incorporado. No entanto, um sistema comprometido com o Boaxxe tem a capacidade de criar uma proxy para o tráfego, fazendo com que pareça original. A 3ve está a aproveitar-se desta funcionalidade para executar seu esquema de fraude com publicidade.
A funcionalidade de proxy do Boaxxe é bastante simples: ele recebe uma solicitação DNS ou HTTP encriptada por RC4 a partir do servidor C&C, desencripta, executa e, finalmente, envia o resultado de volta para o servidor C&C. Um pedido HTTP clássico, desencriptado, vindo da 3ve em direção a um sistema Boaxxe comprometido é semelhante a isto:
O sistema comprometido faz esse pedido, “visitando” efetivamente a página que aloja o anúncio, e envia de volta a resposta para o servidor C&C. Foi assim que a 3ve alavancou os sistemas comprometidos da Boaxxe para realizar as suas operações de fraude com anúncios. Curiosamente, temos assistido a pedidos semelhantes aos enviados acima para sistemas comprometidos com o Boaxxe desde, pelo menos, o início de 2016.
Nessa altura, apenas bots Boaxxe com endereços IP dos EUA eram utilizados como proxies, sugerindo que os operadores 3ve estavam interessados principalmente no tráfego de publicidade nessa região do mundo.
Kovter
A ESET detectou pela primeira vez o Kovter em 2014, quando se tratava de ransomware. A família de malware Kovter evoluiu um pouco desde então para se tornar num malware relacionado com a fraude publicitária. Digno de nota em termos de fraude é sua capacidade de enviar tráfego falso se detectar um monitor de rede e encerrar o seu próprio processo gerado se o Gestor de Tarefas do Windows for iniciado.
Agora ele está ainda mais furtivo do que antes, utilizando a persistência “sem ficheiros” e armazenando a sua carga maliciosa encriptada no registo do Windows. Além disso, garante o funcionamento desta fraude somente quando o sistema não está em utilização ou quando o ecrã está desligado. Ele também tem a capacidade de mascarar todos os efeitos visuais ou sonoros ao visualizar anúncios para tornar as suas atividades imperceptíveis para o utilizador.
Uma forma diferente de utilização
Os operadores do 3v utilizaram a botnet Kovter de forma diferente da Booxxe. Um sistema Kovter comprometido pode receber uma tarefa do seu servidor C & C e executá-la diretamente através de um browser oculto do Chrome Embedded Framework. Temos acompanhado a botnet Kovter há mais de dois anos através da nossa plataforma de acompanhamento de botnets.
Este sistema permite-nos monitorizar as botnets mais comuns em tempo real. Analisando os dados obtidos podemos: mapear a infra-estrutura da rede de botnets; analisar os diferentes ficheiros de configuração; descarregar as atualizações de malware; ver os principais comandos que recebe; ver quais as outras famílias de malware são instaladas.
O principal objetivo da plataforma ESET é ajudar a manter os melhores níveis de proteção para os nossos utilizadores e enriquecer os feeds do ESET Threat Intelligence.
No entanto, ele também pode ser utilizado para fornecer dados técnicos em determinadas operações, como as que participámos contra o Dorkbot em 2015 e o Andromeda / Gamarue em 2017.
O Kovter, assim como o Boaxxe, chegou às vítimas através de várias formas diferentes, incluindo spam, downloads diretos e esquemas de pagamento por instalação. Um aspeto interessante é que ambas as famílias de malware foram instaladas através do Nemucod enquanto a operação 3ve já estava ativa.
Como dito anteriormente, os primeiros sinais que vimos da operação 3ve foram através deste acompanhamento do Boaxxe, onde os sistemas comprometidos localizados nos EUA foram utilizados para fazer uma proxy de solicitações de fraude de anúncios.
Olhando para a nossa telemetria do Kovter, podemos ver que a botnet Kovter tem como alvo principalmente a América do Norte.
Os servidores de C&C do Kovter funcionam em camadas. Primeiro, o bot recupera a sua configuração estática armazenada. O ficheiro de configuração é guardado de forma encriptada através do seguinte formato:
<16 bytes reversed RC4 key><base64–encoded, encrypted data><16 bytes of padding>
Este ficheiro de configuração contém, entre outras coisas, uma lista de servidores C&C de primeiro nível, assim como a chave RC4 necessária para as comunicações de rede.
Para recuperar os servidores C&C de segundo nível, o bot envia uma solicitação HTTP por POST para os servidores C&C de primeiro nível com o seguinte formato:
RESP:BOT|c:IPS|vsn:1|
A string hexadecimal é composta de caracteres hexadecimais aleatórios [0-9a-f] e o seu comprimento varia entre os 32 e os 128 caracteres. A solicitação POST é encriptada através de uma chave aleatória RC4. Essa chave é anexada ao pacote e a mensagem geral é encriptada através da chave RC4 encontrada no ficheiro estático de configuração. A comunicação resultante é enviada através de um socket diretamente para o servidor C&C de primeiro nível. A resposta do servidor contém os servidores C&C de segundo nível. Eles são responsáveis por entregar as tarefas de fraude de publicidade ao bot.
Através do nosso acompanhamento ao Kovter, foi possível identificar vários servidores C&C de primeiro e segundo níveis. Estes dados foram passados às forças policiais para ajudar nesta operação.
Curiosamente, desde a operação de interrupção, vimos uma mudança no comportamento dos atuais servidores C&C de primeiro nível. Agora estão a devolver o endereço IP “localhost” convencional (ou seja, 127.0.0.1) como os servidores C&C de segundo nível. É claro que é impossível para nós conhecermos o motivo por detrás desta mudança, mas é provável que eles tenham feito isso para colocar a botnet em espera enquanto descobrem o que os atingiu.
Considerações finais
As fraudes publicitárias com botnets existem há muito tempo e representam uma soma significativa de dinheiro para anunciantes em todo o mundo. Ter a capacidade de reagir e sermos capazes de interromper as operações é vital para a integridade do ecossistema da Internet. A ESET tem orgulho de poder fazer a diferença e prestar assistência sempre que possível.
Se acredita que está infectado pelo Boaxxe ou pelo Kovter, temos uma ferramenta gratuita para si. O ESET Online Scanner detecta e remove malware, incluindo milhares de variações dos módulos Boaxxe e Kovter.
Para obter mais informações acerca dos mecanismos de fraude de anúncios 3ve, pode ler o white paper Google e White Ops acerca desta operação aqui.
Um agradecimento especial a Matthieu Faou, Juraj Jánošík, Viktor Lucza, Filip Mazán, Zoltán Rusnák e Richard Vida pela ajuda nesta investigação.
