21.12.2016 20:51
itNews 15 12700 Источник


Ботнетов в мире много, среди них есть как откровенно неудачные (если это слово применимо в этом случае) ботнеты, так и системы, которые можно назвать произведением искусства. Кроме того, цели разработчиков ботнетов самые разные. Наиболее распространенная цель — заработок денег.

Разработчикам фермы ботов Methbot удалось создать настоящую денежную машину, которая приносит своим владельцам по нескольку миллионов долларов США в день. Первыми этот ботнет обнаружили специалисты White Ops, которые и проанализировали его работу. По мнению экспертов, ботнет принадлежит хакерской группе AFT13, считающейся российской.

Ботнеты часто специализируются на рекламе. Разработчики таких систем разными способами заражают ПК пользователей вредоносным ПО, которое обеспечивает клики и просмотры рекламы, что приносит создателю такой системы, порой, очень неплохие суммы. Разработчикам ботнета, о котором идет речь, показалось недостаточно хорошей идея заражать ПК пользователей. Они решили поработать с «мертвыми душами», то есть фальшивыми пользователями.



После детального анализа ботнета оказалось, что созданная киберпреступниками инфраструктура включает около 800-1200 серверов. Они расположены в дата-центрах США и Нидерландов. Злоумышленники имеют и базу из более, чем полумиллиона IPv4-адресов. Эти адреса имеют географическую привязку к США. Такой объем реальных адресов, по разным оценкам, может стоить около $2-$4 млн.

Так вот, авторы Methbot работают по оригинальной схеме: они используют подмену адресов своих собственных сайтов. Сначала бот в автоматическом режиме выбирает домен или же адрес из списка премиум публикаторов. После этого в том же автоматическом режиме создается подставная страница, где есть все необходимые для генерации рекламы и запросов видеорекламы из различных рекламных сетей. Рекламу бот обрабатывает в ходе симуляции браузера через прокси. При этом, как уже говорилось, используются приемы, помогающие ботнету имитировать работу обычного пользователя.

Сам бот отличается от прочих подобных проектов еще и развитой, но хорошо скрытой инфраструктурой. По всей видимости, разработчики давно реализовали свой план, где первым этапом является разворачивание инфраструктуры с одновременным ее скрытием. Работает эта ферма ботов с Node.js и рядом опенсорсных библиотек. Это позволяет злоумышленникам имитировать работу браузера. Для того, чтобы избежать обнаружения защитными системами, ботнет имитирует работу различных браузеров и операционных систем. Кроме того, система умело имитирует движения курсора мыши, клики, сетевую активность для того, чтобы защита рекламных систем не сработала.



Больше всего создатели ботнета зарабатывают на премиальной видеорекламе, которую «просматривают» поддельные пользователи из наиболее дорогих для клика регионов.

Сейчас к расследованию ситуации привлечены не только партнеры компании, раскрывшей ботнет, но и ФБР.
Поделиться с друзьями
-->

Комментарии (15)


  1. Nord001
    22.12.2016 07:41
    #9977626
    +5

    На ГТ побольше написано и пораньше:

    https://geektimes.ru/post/283906/


  1. fishca
    22.12.2016 08:34
    #9977680
    -1

    Для того, чтобы избежать обнаружения защитными системами, ботнет имитирует работу различных браузеров и операционных систем. Кроме того, система умело имитирует движения курсора мыши, клики, сетевую активность для того, чтобы защита рекламных систем не сработала

    В мирное русло бы их способности, прекрасный тестовый пакет для веб-приложений вышел.


    1. kxl
      22.12.2016 10:33
      #9977840
      +1

      Думаю, это и сделано на основе какого-нибудь UI-тестового пакета.


      1. fishca
        22.12.2016 23:36
        #9979074

        Я что-то в этом направлении даже и не подумал :)


    1. Shadow_ru
      22.12.2016 11:58
      #9977958

      PhantomJS давно есть.


      1. istinspring
        23.12.2016 08:40
        #9979340

        фантом не подойдет. нужено полнофункциональный браузер. SlimerJS например


  1. ilyaplot
    22.12.2016 10:32
    #9977836

    Вот из-за таких людей дешевеет реклама.


  1. sergsh
    22.12.2016 11:58
    #9977956

    А есть доказательства что это российская группа? Или это такой пример фиктивной новости?


  1. Saffron
    22.12.2016 14:51
    #9978286

    Я вот не понимаю. Пользователи скрывают рекламу — они жалуются. Пользователи кликают рекламу — они жалуются. Так что им нужно?


    1. RockPresident
      22.12.2016 15:29
      #9978338

      Они хотят, разумеется, чтобы настоящие пользователи, честно выбранные каким-нибудь алгоритмом (хотя бы географической выборкой, а лучше ещё их интересами) кликали на рекламу которая их на самом деле заинтересует. Таким образом это будут пользователи с настоящим, высоким (относительно случайного человека) conversion rate. Будут покупаться настоящие продукты, которые и рекламируются. При обычной работе рекламной сети так и происходит.
      В данном же случае рекламу кликают не настоящие пользователи, а боты — которые никогда не будут покупать продукты которые рекламируются.


      1. Saffron
        22.12.2016 16:29
        #9978454
        +3

        > кликали на рекламу которая их на самом деле заинтересует

        Пользователи, которые блочат рекламу, честно признаются, что им не интересна реклама. Вовсе. Но им тыкают в нос, что они ведут себя плохо и обижают владельцев сайтов, которым нечего есть будет скоро. Тогда пользователи включают ботов и кликают на рекламу. Теперь уже жалуются рекламодатели.

        > Таким образом это будут пользователи с настоящим, высоким (относительно случайного человека) conversion rate.

        А что если на сайт ходят другие пользователи? Они что, будут не настоящими? Вот если я не ведусь на разводки и рекламу всегда воспринимаю в штыки — я не пользователь?

        > Будут покупаться настоящие продукты, которые и рекламируются

        А вы заключили с пользователем какой-то договор, который обязывает их что-то покупать у ваших рекламных партнёров? Если не заключили договор, то какие гарантии вы можете требовать или давать? Пользователи что хотят, то и делают. Заключайте договор явно — и посмотрите, сколько на сайте останется пользователей.

        > При обычной работе рекламной сети так и происходит.

        Ох уже эта «упущенная прибыль». Что такое обычная работа? Она где-то нормируется? Если вам везло получать прибыль и продавать товары, с чего вы взяли, что эта тенденция сохранится? Даже самые глупые пользователи со временем умнеют и учатся не доверять рекламе. А если сами они не догадаются — им может помочь друг, биологический или электрический.


        1. NickKolok
          24.12.2016 17:11
          #9981544

          Не исключено, что скоро так и будет. При первом входе на сайт — «Пользовательское соглашение», обязывающее отключить адблок. И штрафы нарушителям. Спасает только то, что первый сайт, который так сделает, огребёт не по-детски…


  1. NeverIn
    22.12.2016 21:08
    #9978874

    Не очень понятна бизнес модель. Просмотр рекламы обеспечивают ботнеты, но сама реклама должна быть на ресурсе владельца ботнета?! Если это не СДЛ траффик будет подозрительным.


    1. Old_Chroft
      23.12.2016 08:11
      #9979306

      … используют подмену адресов своих собственных сайтов [...] автоматическом режиме создается подставная страница, где есть все необходимые для генерации рекламы и запросов видеорекламы...
      Так что все правильно: создаются фейковые сайты, на которые заходят фейковые пользователи :-)


  1. lightman
    24.12.2016 12:02
    #9981318

    Эх, говорила мама, иди в хакеры. Но нет, я ж как все, хочу работать за з/п.

    Да даже если для замаливания грехов четверть из этой суммы отдавать на благотворительность, ещё четверть — на исследования против опасных болезней, и ещё четверть да хоть в церковь, чтоб подстраховать свою грешную душу со всех возможных сторон, даже на остатки можно было бы себе жить.