Microsoft e Symantec smantellano pericolosa Click Fraud Bamital botnet


Microsoft Corp. e Symantec Corp. hanno interrotto una globale operazione di cibercriminalità chiudendo i server che controllavano centinaia di migliaia di PC, senza la conoscenza dei loro utenti. Come riportato da Reuters, la Microsoft Digital Crimes Unit, in collaborazione con Symantec, ha tirato giù la pericolosa botnet Bamital che dirottava i risultati di ricerca delle persone portandoli a siti Web potenzialmente pericolosi che potevano installare malware sul loro computer, rubare le loro informazioni personali, o in modo fraudolento pagare le imprese per i clic sui banner pubblicitari online.

Le ricerche di Microsoft e Symantec mostrano che negli ultimi due anni, più di otto milioni di computer sono stati attaccati da Bamital, e che l'hijacking della ricerca e Click Fraud ha colpito molti motori di ricerca e browser Web, compresi quelli offerti da Microsoft, Yahoo! e Google. Dato che questa minaccia ha sfruttato la ricerca e la piattaforma di advertising online per danneggiare persone innocenti, i produttori di software  Microsoft e Symantec hanno scelto di agire contro la botnet Bamital per aiutare a proteggere le persone.

Mentre la botnet Bamital ha defraudato l'intera piattaforma di pubblicità online, che permette a molti servizi Internet di restare gratuiti, la cosa più preoccupante è che questi criminali hanno dirottato gli utenti su siti sui quali non hanno mai avuto intenzione di andare e hanno preso il controllo del computer da remoto del loro proprietario, spiega Microsoft. Proprio come essere costretti in un vicolo buio, il reindirizzamento ha lasciato la persona il cui computer è stato già infettato da Bamital più vulnerabile a diventare target di altri reati, come il furto di identità e infezioni di malware aggiuntivi. 

Ad esempio, in un caso, gli investigatori di Microsoft hanno scoperto che Bamital aveva deviato una ricerca di  "Nickelodeon" a un sito web che ha distribuito malware, compresi spyware che è stato progettato per tenere traccia delle attività del proprietario del computer. Nel frattempo, in un altro caso, i ricercatori di Microsoft hanno scoperto che una pagina ufficiale di Norton Internet Security che compare in un elenco di risultati della ricerca era stata reindirizzata a un sito rogue antivirus che distribuisce malware.

www.symantec.com

Il Trojan.Bamital, di cui esistono diverse varianti (Trojan.Bamital.B!inf2, Trojan.Bamital.C!inf) è un cavallo di Troia che modifica i risultati della ricerca sul computer infetto. Questo takedown, noto come Operazion b58, è la stessa operazione di interruzione botnet operata in tre anni da Microsoft nell'ambito del suo progetto MARS - Microsoft Active Response for Security - e il secondo in fatto di collaborazione con Symantec. Sulla base dei successi delle operazioni botnet precedenti, Microsoft e Symantec hanno utilizzato un'azione combinata giuridica e tecnica per abbattere Bamital. 

In particolare, il 31 gennaio scorso, Microsoft ha presentato una causa (http://www.microsoft.com/en-us/news/download/blogs/2013/02-06MicrosoftBamitalComplaint.pdf) sostenuta da una dichiarazione di Symantec nei confronti degli operatori della botnet per recidere tutte le linee di comunicazione tra botnet e computer infettati dal malware sotto il suo controllo. Il giudice ha accolto la richiesta di Microsoft e il 6 febbraio, Microsoft - scortato dall'US Marshals Service - ha sequestrato con successo dati importanti e le prove della botnet. La prova è stata presa dalle strutture di  web-hosting in Virginia e New Jersey.

Mettere giù la botnet Bamital è il primo passo per proteggere la gente. E 'importante notare che, mentre i criminali informatici in questo caso hanno utilizzato il malware Bamital per rompere l'esperienza di ricerca delle vittime, ciò è stato fatto in modo subdolo in maniera tale che la maggior parte delle vittime non si sarebbe nemmeno accorta di un problema, mentre la botnet era ancora in funzione. Tuttavia, poiché il takedown ha reciso la capacità dei criminali informatici di manipolare e controllare i computer infettati da Bomital, le vittime probabilmente diventeranno visibilmente consapevoli che la loro funzione di ricerca è rotto appena le query di ricerca andranno in timeout.

Come tale, Microsoft e Symantec hanno preso provvedimenti proattivi da notificare alle vittime. I possessori di computer infetti che tentano di completare una query di ricerca verranno indirizzati a un sito Web ufficiale Microsoft e Symantec che spiega il problema e fornisce informazioni e risorse per rimuovere l'infezione Bamital e altro malware dal proprio computer. Come nelle passate azioni botnet, Microsoft sta anche utilizzando le informazioni raccolte in questa operazione per lavorare con i fornitori di servizi Internet e Computer Emergency Response Team per aiutare le vittime riprendere il controllo dei propri computer.

www.microsoft.com

Symantec spiega che l'origine di Bamital può essere fatta risalire alla fine del 2009 e si è evoluta attraverso molteplici variazioni negli ultimi due anni. Bamital viene principalmente  diffusa attraverso drive-by-download e file appositamente modificati in peer-to-peer (P2P). Dall'analisi di un singolo server di Bamital C & C per un periodo di sei settimane nel 2011 Symantec ha identificato oltre 1,8 milioni di indirizzi IP unici che comunicavano con il server, e una media di tre milioni di click che venivano dirottati su una base quotidiana.

Informazioni recenti dalla botnet hanno mostrato che il numero di richieste che raggiungevano il server C & C erano ben più di un milione al giorno. Il click fraud di Bamital, attraverso uno script automatizzato, ha emulato il comportamento degli utenti e cliccato sulla pubblicità on-line per guadagno monetario. Bamital ha reindirizzato gli utenti finali ad annunci e contenuti che non avevano intenzione di visitare. Ha inoltre generato traffico non umano avviato sugli annunci e siti Web con l'intento di essere pagati da reti pubblicitarie. Bamital è solo uno dei tanti che utilizzano botnet clickfraud a scopo di lucro e per promuovere le attività di criminalità informatica di altri.

Molti degli attaccanti che stanno dietro questi schemi si sentono a basso rischio, come molti utenti non sono consapevoli che i loro computer vengono utilizzati per queste attività. Bamital è stato anche responsabile di reindirizzare gli utenti a siti web di spaccio di malware con il pretesto di software legittimo. Per chi teme che il proprio computer potrebbe essere infetto, Microsoft offre strumenti gratuiti e informazioni  a https://support.microsoft.com/botnets che possono aiutare le persone a rimuovere malware e altri Bamital dai loro computer.

Ulteriori informazioni su questo caso può essere trovato qui: http://bit.ly/UZqwbg . Symantec e Norton hanno monitorato gli attacchi Bamital, e hanno generato modi per proteggere gli utenti da questa minaccia. Dettagli su come proteggersi dall'infezione Bamital sono disponibili qui: http://www.norton.com/bamital. Per maggiori dettagli sulle attività Bamital, potrete scaricare una copia del whitepaper: http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/trojan_bamital.pdf Il video seguente mostra come Bamital sfrutta il modello di pubblicità online. Icona: Softicons

Nessun commento:

Posta un commento