Специалисты компании White Ops представили развернутый отчет (PDF) о деятельности крупной фермы ботов Methbot, которая, по данным исследователей, принадлежит российской хакерской группе AFT13, и впервые была обнаружена в сентябре 2015 года.
Как правило, для мошенничества с рекламой злоумышленники заражают компьютеры пользователей малварью, а затем генерируют с их помощью фальшивый трафик. Операторы Methbot пошли дальше и создали армию собственных фальшивых пользователей.
Согласно отчету, инфраструктура мошенников включает в себя 800-1200 серверов, распложенных в дата-центрах США и Нидерландов, а также в распоряжении хакеров имеются более 570 000 IPv4-адресов, которые выглядят так, будто принадлежат жителям США. Примерная стоимость такого количества IP оценивается аналитиками в 4 млн долларов.
Methbot использует Node.js и ряд опенсорсных библиотек, чтобы имитировать работу браузера. Чтобы избежать обнаружения защитными системами, которые «ловят» ботов, мошенники симулируют работу различных браузеров и ОС, в том числе Chrome, Firefox, Internet Explorer, Windows и macOS. Но огромная «ферма» ботов способна не только эмулировать работу окон браузера, также она имитирует движения курсора мыши, клики, входы в социальные сети и другую активность, что призвано убедить рекламодателей и защитные механизмы в том, что трафик создают реальные люди.
Мошенническая схема, на которой операторы ботнета зарабатывают миллионы долларов, выглядит следующим образом. Вначале Methbot выбирает домен или URL из списка премиум-публикаторов. Затем создается фальшивая страница, которая содержит элементы, необходимые для генерации рекламы и запросов видеорекламы из рекламных сетей, для которых используется фейковый URL, имитирующий реальный URL публикатора. Реклама загружается в симуляцию браузера через прокси, пройдя ряд механизмов, имитирующих человеческую деятельность. В итоге анти-фрод системы уверены, что имеют дело с живыми людьми, а не с армией ботов. По данным исследователей White Ops, злоумышленники подделали таким образом более 6000 доменов, в том числе принадлежащих крупным компаниями, например, Vogue, The Economist, ESPN, Fortune, Fox News, Huffington Post и International Business Times.
Основной целью операторов Methbot является премиальная видеореклама, и злоумышленники имитируют просмотры из наиболее прибыльных географических зон. Специалисты White Ops обратились за консультацией к коллегам из компании AD/FIN и совместно с ними подсчитали, что Methbot приносит своим хозяевам порядка 3-5 млн долларов в день. Дело в том, что за одни сутки Methbot генерирует 200-300 миллионов фальшивых просмотров, каждая тысяча из которых оценивается в диапазоне от $3,27 до $36,72 (в среднем $13,4).
На иллюстрации ниже видно, что вред от работы Methbot несопоставим с вредом от других рекламных ботнетов, которые используют для своей деятельности обычную малварь, а не арендуют места в дата-центрах.
Специалисты White Ops пишут, что передали результаты своих изысканий в руки ФБР и уже несколько недель помогают правоохранительным органам. Также на сайте White Ops были опубликованы списки IP-адресов, поддельных доменов и URL, которые используют мошенники, чтобы рекламодатели и поставщики технологий могли защититься от Methbot.
