Семейство рекламной малвари Crusader устанавливается на машины жертв вместе с различными комплектами ПО. То есть пользователь загружает бесплатное приложение, а в нагрузку получает Crusaders. Вредонос распространяется в формате расширения для Chrome, аддона для Firefox или helper object для Internet Explorer. Будучи аддоном для браузера, малварь оказывается в привилегированной позиции и может просматривать и модифицировать практически весь пользовательский трафик.
Все инструкции, которые должна выполнить малварь, содержатся в конфигурационном файле Crusader, который вредонос скачивает после заражения системы, посылая HTTP-запрос следующего вида: http://demo1.geniesoftsystem.com/Crusader/index.php/api/getdetails?data={%22id%22:%221%22,%22keyword%22:%22antivirus%22,%22count%22:%225%22,%22country%22:%22[country]%22}
По данным Bleeping Computer, пока единственная страна, для которой сервер возвращает файл конфигурации, это Индия. К тому же некоторые опции Crusader отмечены как demo. Отсюда исследователи делают вывод, что вредонос еще находится в стадии разработки.
Изучение файла конфигурации показало, что Crusader способен подменять стартовую страницу браузера и поисковую систему по умолчанию, изменяя URL на предоставленный злоумышленниками. В настоящее время оба значения установлены на google.co.in – это официальный адрес индийского Google.
Кроме того, вредонос способен показывать жертвам рекламу, начиная от всплывающих окон и popunder-окон, и заканчивая баннерами, внедряемыми в содержимое веб-страниц (вместо легитимных рекламных объявлений). К примеру, кусок файла конфигурации, приведенный ниже, показывает, что Crusader демонстрирует пользователям всплывающие окна, реагируя на определенные поисковые запросы. Так, если жертва ищет quickbook support, появится pop-up с рекламой www.preranatechnologies.net, а если пользователь искал free movies, он увидит www.esolvz.net.
Более того, согласно файлу конфигурации, каждый раз, когда жертвы заходят на amazon.co.uk, появляется popunder-окно amazingdeals.online/daily_deals/. А все запросы hotel goa перенаправляются на Hilton.com. В будущем подобная функциональность может принести операторам Crusader хорошие прибыли, ведь малварь способна привлечь трафик на любой сайт.
Но одной из самых интересных особенностей Crusader является умение перехватывать поисковые запросы пользователей и подменять в результатах поиска телефонные номера технической поддержки многих известных продуктов. В настоящее время изменяются телефоны поддержки Dell и Norton, но в будущем преступники явно собираются расширить этот список, добавив в него производителей антивирусов и не только.
Исследователи Bleeping Computer отмечают, что эта опция является одновременно защитным механизмом и маркетинговым инструментом. Ведь если пользователь заподозрит, что с его браузером что-то не так, скорее всего, он обратится к Google за номером телефона технической поддержки. Однако и там его будут поджидать мошенники, и вместо настоящего номера жертва получит телефонный номер колл-центра злоумышленников.
Фото: Bleeping Computer