Magala: تهدید تبلیغاتی پنهان بر روی اینترنت اکسپلورر

۱۳۹۶/۴/۲۴امنیت اطلاعات

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران) عصر طلایی تروجان ها و ویروس ها مدت ها است که طی می شود و همگی شاهد رشد روز افزون آن ها هستیم. در گذشته ی نه چندان دور نرم افزارهای مخرب توسط افراد علاقمند به منظور اهداف تحقیقاتی و سرگرمی ایجاد می شدند و در حال حاضر این گزارش ها به کتاب ها و گذشته باز می گردد و همه چیز تغییر یافته است. آن ها به نرم افزارهایی تبدیل شده اند که دیگر به جای سرگرمی و علاقمندی های خود درآمدزایی می کنند و تنها به باج خواهی و آسیب از این راه دست می زنند.

اما اگر ما حملاتی که توسط مجرمان با اهداف خاص طراحی می شوند را نادیده بگیریم، شاهد چه نوعی از بدافزارها خواهیم بود؟ بله همینطور است، بدافزارهای رمزنگار و بات نت های DDoS که برای اینترنت اشیاء ساخته می شوند و آن ها را مورد حملات متعدد خود قرار می دهند. هر دوی این حملات برای مجرمان سودآور هستند و اجرای آن ها به نسبت ساده! در هر صورت تمامی بدافزارها با هدف باج خواهی و بدست آوردن پول اقدام به حمله نمی کنند و قادر به درآمدزایی از این طریق نخواهند بود. ما نباید دیگر گونه های بدافزارها همانند ربات های تبلیغاتی و ماژول ها و برنامه های مشارکتی را که تمامی آن ها معمولا به عنوان ابزارهای تبلیغاتی ناخواسته که به طور بالقوه به (PUA/PUP) مشهور هستند را نادیده بگیریم. آن ها به نوعی مرزی هستند زیرا که مرزی ظریف بین دسته بندی یک برنامه به عنوان ابزار تبلیغاتی و تعریف برنامه ی مشابه به عنوان یک تروجان وجود دارد. در این مقاله ما با یک رقیب جدی مواجه خواهیم شد که با تبلیغات به میان آمده و فراتر از آن رشد کرده است.

تروجان Magala گونه ای از نرم افزارهای مخرب است که از بروزر اینترنت اکسپلورر سوء استفاده می کند و یک دسکتاپ مجازی بر روی سیستم آلوده باز به منظور می کند و به افزایش کلیک های کاربر اقدام می کند. این تروجان توسط راهکارهای لابراتوار کسپرسکی به عنوان Clicker.Win32.Magala شناسایی شده است.

الگوریتم عملیات

نحوه ی عملکرد Magala به گونه ای است که از روی کلیک های کاربر بر یک صفحه وب خاص تقلید می کند و در نتیجه به افزایش کلیک های تبلیغاتی منجر می شود. لازم به ذکر است که Magala بر روی کاربر هیچ گونه تاثیر مخربی نمی گذارد و تنها آن ها را مجبور به پرداخت خدمات تبلیغاتی آنلاین می کند. قربانیان اصلی کسانی هستند که برای تبلیغات هزینه می کنند و این افراد اغلب صاحبان شرکت های کوچکی هستند که با مبلغان بی پروا در حال تجارت هستند.

مرحله ی اول آلودگی زمانی سپری می شود که تروجان بررسی کند کاربر چه نسخه ای از اینترنت اکسپلورر را نصب کرده است و آن را بر روی سیستم خود قرار داده است. اگر نسخه ی نصب شده 8 یا قبل از آن باشد، تروجان عملیات خود را بر روی آن اجرا نخواهد کرد. بنابراین اگر شما نسخه های مذکور را به صورت نصب شده دارید نگران گرفتار شدن توسط Magala نباشید.

اما اگر تروجان نسخه ی مطلوب خود را جستجو و آن را پیدا کرد، بدون اینکه کابر متوجه چیزی شود، یک دسکتاپ اولیه را به صورت مجازی برایش تنظیم خواهد کرد. تمام فعالیت های اصلی تروجان از این مرحله به بعد انجام خواهد شد. در این مرحله دقیقا مثل دیگر تروجان ها یک عملیات نرم افزار اجرا خواهد شد:  autorun راه انداز خواهد شد، یک گزارش به یک آدرس URL ارسال می شود و ابزارهای تبلیغاتی مورد نیاز نصب می شوند. برای تعامل با یک پیج باز، Magala  از  IHTMLDocument2 (خط استاندارد ویندوز که از DOM استفاده می کند)استفاده می کند. تروجان نوار ابزار را برای برنامه ی ربوده شده ی مرورگر MapsGalaxy بارگذاری می کند و ریجستری سیستم را تغییر می دهد تا MapsGalaxy به صفحه ی اصلی پیش فرض تبدیل شود.

در مرحله ی بعد تروجان بررسی می کند که ببیند نوار جستجو قبلا نصب شده است یا خیر.

Magala پس از آن با سرور از راه دور اتصال برقرار می کند و لیستی از نمایش های جستجو برای شمارش کلیک هایی که باید ارتقا یابند را درخواست می کند.

این لیست در یک فایل متنی ساده با تعداد زیادی از رشته ها ارسال می شود.

با استفاده از این لیست، برنامه شروع به ارسال درخواست جستجوها می کند و کلیک بر روی هر یک از 10 لینک اول نتایج این جستجو است و فاصله ی زمانی این کلیک ها هر 10 ثانیه بوده است.

منافع تبلیغاتی

تا آنجا که ما می دانیم متوسط هزینه ی هر کلیک 1(CPC) در چنین مواردی 0.07 دلار آمریکا است. هزینه ی هر هزار دلار (CPM) به 2.2 دلار می رسد. لازم به ذکر است که تروجان Clickers محبوب ترین شیوه ی فروش تبلیغات نیست. متداول ترینِ درخواست ها نمایش یک صفحه ی اصلی است که نصب هر کدام از آن ها 0.07 دلارآمریکا است.

یک بات نت که از 1000 کامپیوتر آلوده تشکیل شده است، با کلیک بر 10 آدرس وب سایت می تواند 350 دلار از هر کامپیوتر بدست آورد. با این حال این برآورد هزینه کاملا تقریبی است و معمولا رقم دقیق آن در دنیای واقعی رخ نمیدهد. هزینه ی درخواست های مختلف ممکن است متفاوت باشد اما میانگین کلیک 0.07 دلارآمریکا است.

آمار انتشار

همانطور که در نقشه ی زیر مشاهده می کنید آلودگی Trojan-Clicker.Win32.Magala بیشتر در آلمان و ایالات متحده ی آمریکا گسترش یافته است. این یافته توسط آنالیزجستجوهایی است که تعداد کلیک آن ها افزایش داشته اند. این آمار از ماه مارس تا اوایل ژوئن 2017 جمع آوری شد.

راهکارهای امنیتی

برنامه های متعلق به ابزارهای تبلیغاتی معمولا به عنوان یک تهدید در برابر تروجان های بانکی و رمزنگارها برای یک کاربر محسوب نمی شوند. با این حال ویژگی مشخصی در مدل های مختلف این تروجان ها وجود دارد که مقابله با آن ها را سخت کرده است. در تروجان های تبلیغاتی قابلیت مرزی وجود دارد که خطوط بین نرم افزار مشروع و مخرب را مختل می کند. در این مرحله شما موظف به مشخص کردن هستید که آیا یک برنامه بخشی از یک کمپین تبلیغاتی امن و قانونی است یا اینکه یک نرم افزار نامحدود است که عملکرد مشابهی دارد.

در مقابل چنین تروجان هایی تنها راه استفاده از یک راهکار امنیتی است تا بتواند این تروجان را شناسایی و مانع فعالیت آن بر روی سیستم شما شود.


    1. تبلیغات پرداخت به ازای کلیک (تبلیغات CPC)، همانطور که از اسمش پیداست به مدلی از تبلیغات اینترنتی نوین گفته می‌شود که فرد آگهی‌دهنده در ازای کلیک‌هایی که روی تبلیغاتش می‌شود، پرداخت هزینه را انجام می‌دهد. این کلیک می‌تواند روی یک لینک، یک نتیجه جستجو در گوگل و یا یک بنر تبلیغاتی روی وبسایت یا اپلیکیشن موبایل باشد.

منبع: کسپرسکی آنلاین(ایدکو)

*  کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.