371173krd
Местный
- Статус
- offline
- Регистрация
- 18.11.2016
- Сообщения
- 153
- Репутация
- 79
Специалисты компании White Ops представили развернутый отчет (PDF) о деятельности крупной фермы ботов Methbot, которая, по данным исследователей, принадлежит российской хакерской группе AFT13, и впервые была обнаружена в сентябре 2016 года.
Хакеры создали сеть из 250 тыс. поддельных сайтов, похожих на страницы популярных компаний и СМИ – The New York Times, The Wall Street Journal и других. В схеме также используется порядка 570 тыс. ботов, имитирующих действия пользователей. Отмечается, что за день ботнет позволяет совершить 200-300 млн просмотров рекламных видеороликов.
Как правило, для мошенничества с рекламой злоумышленники заражают компьютеры пользователей малварью, а затем генерируют с их помощью фальшивый трафик. Операторы Methbot пошли дальше и создали армию собственных фальшивых пользователей.
Согласно отчету, инфраструктура мошенников включает в себя 800-1200 серверов, распложенных в дата-центрах США и Нидерландов, а также в распоряжении хакеров имеются более 570 000 IPv4-адресов, которые выглядят так, будто принадлежат жителям США. Примерная стоимость такого количества IP оценивается аналитиками в 4 млн долларов.
Methbot использует Node.js и ряд опенсорсных библиотек, чтобы имитировать работу браузера. Чтобы избежать обнаружения защитными системами, которые «ловят» ботов, мошенники симулируют работу различных браузеров и ОС, в том числе Chrome, Firefox, Internet Explorer, Windows и macOS. Но огромная «ферма» ботов способна не только эмулировать работу окон браузера, также она имитирует движения курсора мыши, клики, входы в социальные сети и другую активность, что призвано убедить рекламодателей и защитные механизмы в том, что трафик создают реальные люди.
Мошенническая схема, на которой операторы ботнета зарабатывают миллионы долларов, выглядит следующим образом. Вначале Methbot выбирает домен или URL из списка премиум-публикаторов. Затем создается фальшивая страница, которая содержит элементы, необходимые для генерации рекламы и запросов видеорекламы из рекламных сетей, для которых используется фейковый URL, имитирующий реальный URL публикатора. Реклама загружается в симуляцию браузера через прокси, пройдя ряд механизмов, имитирующих человеческую деятельность. В итоге анти-фрод системы уверены, что имеют дело с живыми людьми, а не с армией ботов. По данным исследователей White Ops, злоумышленники подделали таким образом более 6000 доменов, в том числе принадлежащих крупным компаниями, например, Vogue, The Economist, ESPN, Fortune, Fox News, Huffington Post и International Business Times.
Основной целью операторов Methbot является премиальная видеореклама, и злоумышленники имитируют просмотры из наиболее прибыльных географических зон. Специалисты White Ops обратились за консультацией к коллегам из компании AD/FIN и совместно с ними подсчитали, что Methbot приносит своим хозяевам порядка 3-5 млн долларов в день. Дело в том, что за одни сутки Methbot генерирует 200-300 миллионов фальшивых просмотров, каждая тысяча из которых оценивается в диапазоне от $3,27 до $36,72 (в среднем $13,4).
На иллюстрации ниже видно, что вред от работы Methbot несопоставим с вредом от других рекламных ботнетов, которые используют для своей деятельности обычную малварь, а не арендуют места в дата-центрах.
Специалисты White Ops пишут, что передали результаты своих изысканий в руки ФБР и уже несколько недель помогают правоохранительным органам. Также на сайте White Ops были опубликованы списки IP-адресов, поддельных доменов и URL, которые используют мошенники, чтобы рекламодатели и поставщики технологий могли защититься от Methbot.
p.s Статья была скопирована из разных источников в сети.
Последнее редактирование:
