Ботнет Clickbot.A

Clickbot.A — ботнет, разработанный для промышленного и «малозаметного» кликфрода в синдицированных поисковых системах. Боты были впервые обнаружены в мае 2006 года. На тот момент им были заражены порядка сотни компьютеров, и всего за один месяц сеть разрослась до 100 тыс. зараженных машин. Он был существенно усовершенствован по сравнению с прежними ботнетами.

НазваниеClickbot.A
СтатусДеактивирован
ОписаниеВредонос из семейства троянов, используемый для выполнения кликфрода с помощью дорвейных сайтов.

Описание

Clickbot.A — кликбот вредоносного типа из семейства троянов. Его оператор действовал от лица паблишера и создавал сразу множество дорвейных сайтов под монетизацию через рекламу, которую боты и скликивали.

Clickbot.A управлял устройствами по HTTP при помощи мастер-бота. Как и многие другие ботнеты, он состоял из клиентов (ботов) и мастер-бота, а также отправлял HTTP-запросы на дорвеи, редиректоры и страницы с результатами поиска на сайте.

Клиентом ботнета выступал вспомогательный объект браузера Internet Explorer. Подобно другим объектам, он запускался вместе с другими процессами браузера и был способен получать полный доступ к объектной модели веб-документа (DOM). Он подстраивался под отправку HTTP-запросов, отправляемых реальными клиентами IE, а работа по доступу и разбору веб-страниц выполнялась автоматически.

Мастер-бот был реализован в виде web-приложения на основе HTTP с использованием скриптов PHP и базы данных MySQL. Многие сайты, которые оператор использовал для управления ботами, дорвеями и редиректорами, были предоставлены скомпрометированными хостинговыми учетными записями интернет-провайдеров.

Скорость заражения

Всего за месяц активности ботнета количество зараженных машин увеличилось со 100 в мае до 100 тыс. в июне. Вредонос попадал на компьютеры через загрузку известного троянского вируса, который маскировался под игру. После заражения он связывался с мастер-ботом, который сообщал, какой исполняемый файл загружать следующим. Последним из цепочки загружаемых и исполняемых файлов был Clickbot.A.

Есть предположение, что оператор Clickbot.A платил или сотрудничал на взаимовыгодной основе с оператором другой бот-сети для внедрения клиента Clickbot.A на компьютеры, которые уже были частью стороннего ботнета.  

Принцип работы

Для скликивания рекламы бот из сети Clickbot.A выполнял следующие действия:

  1. Связывался с мастер-ботом для регистрации.
  2. Получал ссылку на дорвейный сайт.
  3. Получал инструкции, по каким ключевым словам выполнять поиск на сайте.

Как только клиент регистрировался, в консоли администрирования мастер-бота появлялась строка с данной записью. Консоль, помимо предоставления отчетов об IP-адресе, времени последней связи, количестве выполненных кликов и версии клиента всех подключенных к ней ботов, также позволяла оператору обрывать соединение с любым из клиентов, если у того возникали какие-либо подозрения.

После регистрации бот запускал бесконечный цикл, в процессе которого запрашивал дорвейный сайт и ключевое слово, получал доступ к ресурсу и выбирал ссылку для перехода с дорвея. Эксперты, которые проводили анализ ботнета, заметили, что клиентский бот повторял цикл раз в 15 минут.

Оператор ботнета Clickbot.A мог динамически менять мастер-бота, а также использовать новые дорвеи. Если у мастер-бота пропадал доступ к серверам провайдера, оператор ботнета просто давал указание всем бот-клиентам переключаться на использование другого мастер-бота и продолжал дальше обманывать рекламодателей и грести деньги лопатой.

Ущерб

Clickbot.A приносил финансовый ущерб рекламодателям, поскольку рекламная сети или площадки, на которых они размещались, не предпринимали никаких действий по обнаружению и блокировке мошеннических кликов по рекламе.

Несмотря на то, что бот был настроен на проведение «бесшумной» атаки, при которой каждый клиент скликивал объявления раз в 15 минут, он не замедлял работу компьютера и не сильно влиял на производительность машины. Таким образом, у владельцев устройств не было причин чистить свои ПК от вирусов. Именно поэтому ответственность должна была лечь на поисковые системы, рекламные площадки, владельцев сайтов и других участников рекламного цикла.

Можно только примерно оценить ущерб, который нанес ботнет Clickbot.A рекламодателям и рекламных площадкам. Если 100 тыс. машин выполняли по 20 кликов каждая, 1 из 10 ссылок на дорвейном сайте вела на страницу с рекламой Google, бот нажимал на ссылку в одном из двух случаев и средняя стоимость клика составляла 0,50 долларов (на 2006 год), то верхняя граница ущерба в Google, предположительно, составляла 100,000 * 20 * 0,1 * 0,5 * 0,5 = 50 тыс. долларов.

Рекламная площадка Google обнаружила все клики в своей рекламной системе, паттерн поведения которых соответствовал данному ботнету, и перенесла их в статус недействительных.

Как защитить рекламу от атак ботнетов

Botfaqtor — сервис для защиты рекламных кампаний от ботов, скликивателей и других подозрительных переходов. Он использует машинное обучение и сравнивает паттерны поведения пользователей, на основе которых блокирует вредоносные атаки со стороны ботнетов.

Сервис определяет ботовые переходы по 100 техническим и поведенческим параметрам, которые соответствуют мошенническим паттернам. На данный момент общее количество обнаруженных ботов в кампаниях наших клиентов составляет порядка 18 млн в Яндексе и 8 млн в Google.

Сервис Botfaqtor помечает в Яндекс.Метрике мошеннические клики, совершенные ботами, конкурентами и случайными пользователями, по ClientID с помощью специального параметра как недействительные и выводит их в отчеты по рекламному трафику. На основе данного параметра также обновляется корректировка ставок рекламной кампании со значением “-100%“. В Google Рекламе исключения добавляются в Аудитории. То есть в дальнейшем рекламные объявления не будут показываться “пойманным” ботам и другим скликивателям.

Если вы заметили необычный рост переходов по рекламе, клики есть, но нет закономерной конверсии, проверьте свои рекламные кампании на атаки со стороны ботнетов. Тем более, что сделать это можно бесплатно — сервис Botfaqtor предлагает 7-дневный тестовый период.

Botfaqtor помогает бороться с мошенничеством в контекстной рекламе. Клиенты, которые уже подключили свои рекламные кампании к сервису блокировки ботов, снизили стоимость достижения целей и увеличили количество достижений.

Берегите свой рекламный бюджет от ботнетов вместе с Botfaqtor!

Об авторе

Алёна

Пишу о ботах и кибербезопасности

Просмотреть все сообщения

Добавить комментарий