Рекламный троянец Boaxxe

Компания ESET сообщила о возросшей активности троянца Boaxxe, который заражает русскоязычных пользователей. Win32/Boaxxe.BE – семейство вредоносных программ, используемых для перенаправления пользователя на рекламные сайты ради получения платы от рекламодателя (эта схема называется «кликфрод»).

Программа попадает в систему через вредоносные ссылки, которые активно распространяются на сомнительных или зараженных сайтах, а также через спам-рассылки. С сентября 2013 г. Boaxxe распространяется силами участников одной из мошеннических партнерских программ в русскоязычном сегменте сети. За последние четыре месяца, в течение которых эксперты ESET отслеживали активность троянца, к этой партнерской программе присоединились более сорока новых участников. Согласно проанализированной статистике, за два месяца один из участников заразил трояном Boaxxe свыше 3300 устройств.

ПО Boaxxe реализует два типа кликфрода – автоматический и инициированный пользователем. В первом случае клики на рекламные ссылки генерируются автоматически, без ведома и участия пользователя, в течение всего времени работы зараженной системы. Во втором случае переход по рекламной ссылке инициирует сам пользователь – он вводит поисковый запрос в одну из легальных поисковых систем, после чего троянец подставляет в результаты выдачи рекламные сайты вместо искомых. При автоматическом кликфроде прибыль злоумышленников значительно выше.

Следует отметить, что программа использует различные механизмы внедрения в захваченной системе и заражения, в зависимости от используемого браузера, а также умеет скрываться от антивирусных сканеров. Кроме того, троянец избегает обнаружения самим пользователем. Так, когда пользователь выполняет поисковый запрос с использованием ключевого слова, Win32/Boaxxe.BE отправляет это слово в собственную поисковую систему, возвращающую список подходящих рекламных сайтов, ссылки на которые и подставляются в поисковую выдачу. При нажатии на такую ссылку пользователь не успевает увидеть легальную страницу, на которую кликнул, – вместо этого троянец сразу перенаправляет его на одну из рекламных страниц, которые более-менее соотносятся с изначальным запросом. При отсутствии рекламных сайтов, относящихся к данному ключевому слову, перенаправление не выполняется.

Если же в поисковой выдаче показываются ссылки на такие сервисы, как Wikipedia, Facebook или Twitter, содержание которых с высокой вероятностью знакомо пользователю, перенаправления также не происходит.

Компания ESET напоминает, что решения ESET NOD32 успешно детектируют модификации данной вредоносной программы.