ESET: троян Boaxxe заразил более 100 тысяч устройств

Win32/Boaxxe.BE является вредоносной программой, которая перенаправляет пользователей на рекламные ресурсы, за что злоумышленники получают деньги от своих работодателей. Такая схема носит название "кликфрод".

Boaxxe распространяется через вредоносные ссылки, которые часто встречаются на сомнительных или зараженных сайтах, а также через спам-рассылки. С сентября минувшего года троян распространяется в русскоязычном сегменте Интернета с помощью участников одной из мошеннических партнёрских программ.

 

Антивирусные эксперты наблюдали за Boaxxe в течение последних четырёх месяцев, за которые к партнёрской программе присоединились более сорока новых участников. Всего за два месяца один из участников "партнёрки" заразил трояном Boaxxe свыше 3300 устройств. Таким образом, 40 новых партнёров смогли распространить вредоносную программу между как минимум 100 тысяч пользователей.

Троян Boaxxe может использовать два метода кликфрода - инициированный пользователем и автоматический. В первом случае по рекламной ссылке переходит сам пользователь - после того, как он вводит поисковый запрос в любом поисковике, троян подставляет в результаты выдачи рекламные сайты вместо искомых. В случае автоматического кликфрода клики на рекламные ссылки автоматически генерируются без ведома и участия пользователя.

 

Отмечается, что троян Boaxxe в захваченной системе ведёт себя крайне осторожно - он использует разнообразные механизмы внедрения и заражения, а также способен скрываться от антивирусных программ. Троян избегает обнаружения самим пользователем, отправляя его поисковые запросы в собственную систему, которая предлагает список подходящих рекламных сайтов, ссылки на которые и подставляются в поисковую выдачу.

 

При нажатии на подобные ссылки пользователь не попадает на искомый сайт, вместо чего троян перенаправляет его на одну из рекламных страниц, которая похожа на изначальный запрос. Троян не отправляет пользователя, если в его запросе нет рекламных сайтов, относящихся к ключевому слову. Кроме этого, если пользователь ищет хорошо знакомые сервисы, например, Wikipedia, Facebook или Twitter, перенаправление также не осуществляется.