Botnet genera ingresos con publicidad
Durante los últimos dos años, un grupo de cibercriminales ha infectado casi un millón de ordenadores con un malware que secuestra los resultados de búsqueda y los cambia por otros. La botnet intercepta las búsquedas de Google, Bing y Yahoo y reemplaza los resultados legítimos por los generados por su propio buscador fraudulento. Este fraude lo realizan usando un malware denominado como Redirector.Paco por la firma de seguridad Bitdefender.
El objetivo del malware es redirigir el tráfico cuando se usa uno de los motores de búsqueda populares, y reemplazar los resultados con otros obtenidos de una búsqueda de Google personalizada. El objetivo es ayudar a los cibercriminales a ganar dinero mediante el programa AdSense.
Junto con google AdWords, es uno de los productos de publicidad de Google que permite a los editores obtener ingresos mediante la colocación de anuncios en los sitios web. Los anuncios son proporcionados por Google en asociación con los anunciantes de AdWords mediante un sistema de subastas. AdSense usa tecnologías que muestran anuncios relevantes a los visitantes, a través de su geolocalización u otros factores, de forma que los anunciantes pueden llegar al target que desean.
Así funciona el malware
Como explican desde Bitdefender, para redirigir el tráfico, el malware realiza algunas modificaciones de los registros, alterando los valores de “AutoConfigURL” y “AutoconfigProxy” de los ajustes de Internet, registrando claves para que por cada petición que haga el usuario, sea requerido un PAC (Proxy auto-config). Este archivo le dice al buscador que redirija el tráfico a direcciones diferentes.
El malware intenta que las búsquedas parezcan auténticas. Redirector.Paco ha estado activa desde septiembre de 2014. Durante este periodo, ha conseguido infectar casi un millón de IPs alrededor del mundo. La firma de seguridad explica en su blog las peculiaridades de este malware, cómo funciona a nivel técnico y cómo se realizó la investigación.