Botnet làm gia tăng thu nhập của bọn tội phạm từ Google

Botnetboosts criminals' revenues f-rom Google

Dan Goodin, The Register2009-10-09

Theo:http://www.securityfocus.com/news/11561

Bài được đưa lênInternet ngày: 09/10/2009

Lờingười dịch: Lại một Botnet mới nữa, gọi là BahamaBotnet, tấn công tập trung vào giỡn mặt 3 ông lớn vớicác máy tìm kiếm hàng đầu thế giới là của Google,Yahoo và Bing của Microsoft. Như vậy là các tin tặc bâygiờ đang thực sự thách thức các ông lớn về IT, chứkhông phải những site, về mặt IT mà nó, chỉ đáng làcủa những đứa trẻ còn hay tè dầm. “Liệu BahamaBotnet có lớn lên hay không, nó có đáng để xem hay khôngthì phải chờ xem cách mà những người khổng lồ đangngủ này trả lời ra sao”.

Một botnet đượcphát hiện gần đây truyền thu nhập quảng cáo từGoogle, Yahoo! Và Bing rồi đi tới các mạng nhỏ hơn.

Theo các nhà nghiêncứu tại Click Forensics, các máy tính mà là một phần củacái gọi là Bahama Botnet bị lây nhiễm với các phần mềmđộc hại mà chúng gửi các máy tính đó tới các trangtìm kiếm giả mạo thay vì những thứ thật. Chúng giốngnhư được xác thực và với sự trợ giúp của các thủtục đầu độc DNS, chúng còn hiển thị google.com,yahoo.com hoặc bing.com trong thanh địa chỉ.

Nhưng các kết quảtìm kiếm được trả lại bởi các site giả mạo này đãbị đánh bẫy theo một vài cách đáng kể. Trong khi cácđường liên kết chứa đựng trong các kết quả cuốicùng dẫn tới một site thực sự, thì các trình duyệttrước hết lại được định tuyến tới một loạt cácmạng quảng cáo mà chúng nhận được một phí tham chiếunhỏ. Các liên kết được tài trợ, mà chúng thường trảcho thời gian của mỗi tìm kiếm thực sự mà chúng đượcnháy vào, cũng bị lừa gạt sao cho một mạng quảng cáonhỏ hơn phải trả tiền thay.

“Ý tưởng này làđể kiếm tiền thông qua sự giả mạo của việc nháychuột”, Matt Graham, một nhà phân tích rủi ro tại ClickForensics mà cung cấp các dịch vụ kiểm toán cho các nhàquảng cáo. “Khi những người này thực sự tiến hànhtìm kiếm, thì đó là khi những chú nhóc này có thể hiểnthị các quảng cáo được ẩn dấu trong các kết quảtìm kiếm cơ bản”.

Như video này trìnhbày, các website giả mạo chính xác là nhìn giống hệtnhư Google, Yahoo hoặc Bing thực. Nhưng các công cụ phântích giao thông chỉ ra cho máy tính bị lây nhiễm thực sựđược kết nối tới một máy chủ của kẻ lừa đảovới địa chỉ IP là 64.86.17.56. Site giả mạo này thựcsự kéo các kết quả từ máy tìm kiếm mà nó lừa gạttrước khi chúng được chữa trị, giúp cho sự ảo tưởngrằng mọi thứ vẫn cứ tiếp diễn. Một người phátngôn của Google nói: “Chúng tôi đang thanh tra và giám sátvấn đề này cũng như khi chúng tôi thanh tra và giám sátnhiều botnet và hệ thống khác mỗi ngày”. Một ngườiphát ngôn của Microsoft thì đã từ chối bình luận vàcác đại diện của Yahoo đã không trả lời khi bài nàyđược viết.

Bahama Botnet, đượcđặt tên vì nó ban đầu đã sử dụng các máy chủ bịtổn thương từ công ty đó, đã có liên quan trong cácquảng cáo chống virus giả mạo mà gần đây đã đượcthấy cách của chúng trên website của tờ New York Times. Nócũng còn được biết vì sự bí ẩn của nó về các kỹthuật tối ưu hóa máy tìm kiếm mà nó gửi mọi ngườitới các website độc hại khi chúng tìm kiếm các chủ đềsự kiện hiện hành.

Bây giờ, thay vì tấncông các chú lính trung bình với sự vệ sinh máy tính cánhân sũng sượt, thì nó chuyển lên 3 máy tìm kiếm lớnnhất thế giới. Graham nói số lượng các máy tính bịlây nhiễm mà ông đã quan sát được là khoảng hàngngàn. Và điều đó gợi ý về số lượng thiệt hại vẫncòn khá khiêm tốn. Liệu Bahama Botnet cólớn lên hay không, nó có đáng để xem hay không thì phảichờ xem cách mà những người khổng lồ đang ngủ nàytrả lời ra sao.

Arecently discovered botnet has been caught siphoning ad revenue awayf-rom Google, Yahoo! and Bing and funneling it to smaller networks.

Accordingto researchers at Click Forensics, computers that are part of theso-called Bahama Botnet are infected with malware that sends them tocounterfeit search pages instead of the real thing. They lookauthentic, and with the help of DNS poisoning routines, they evendisplay google.com yahoo.com or bing.com in the address bar.

Butthe search results returned by these bogus sites have been ginned insome significant ways. While links contained in the organic resultsultimately lead to a real site, browsers are first redirected to aseries of ad networks that receive a small referral fee. Sponsoredlinks, which typically pay the real search engine each time they areclicked, have also been jury rigged so a smaller ad network gets paidinstead.

"Theidea is to make money through click fraud," said Matt Graham, arisk analyst at Click Forensics that provides auditing services toadvertisers. "When those people actually do searches, that'swhen these guys can display these ads hidden in the organic searchresults."

Asthis video demonstrates, the faux websites have precisely the samelook and feel as the real Google, Yahoo or Bing. But traffic analysistools show the infected computer is really connected to an impostorserver with the IP address of 64.86.17.56. The counterfeit siteactually pulls the results f-rom the search engine it's spoofingbefore they're doctored, furthering the illusion that everything ison the up and up.

AGoogle spokeswoman said: "We are investigating and monitoringthis issue just as we investigate and monitor many other botnets andschemes every day." A Microsoft spokesman declined to commentand representatives f-rom Yahoo hadn't responded by time of writing.

TheBahama Botnet, so named because it initially used compromised serversf-rom that country, has already been implicated in the rogueanti-virus ads that recently found their way onto the website of TheNew York Times. It's also been known for its mastery of search engineoptimization techniques that send people to malicious websites whenthey search for current events topics.

Now,instead of attacking average joes with sloppy PC hygiene, it'sturning on three of the world's biggest search engines. Graham saidthe number of infected machines he's observed is in the thousands.And that suggests the amount of damage is still relatively modest.Should the Bahama Botnet grow, it will be worth watching to see howthese sleeping giants respond.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com