Прокуратура Восточного округа Нью-Йорка огласила обвинения восьмерым гражданам России и Казахстана по делу о масштабном рекламном мошенничестве в Интернете. Фигурантов подозревают в причастности к двум преступным схемам. Общий ущерб от их деятельности составил более 36 млн долларов.

Раскрытие кампаний стало возможно благодаря сотрудничеству ФБР, Управления иностранных дел Министерства юстиции США, а также властей и правоохранительных органов Малайзии, Болгарии, Эстонии, Германии, Великобритании, Голландии, Франции и Швейцарии. Большую помощь в расследовании также оказали специалисты компаний White Ops, Google, Proofpoint, Fox-IT, Microsoft, ESET, Trend Micro, Symantec, CenturyLink, F-Secure, Malwarebytes, MediaMath и активисты некоммерческих организаций.

В осуществлении первой схемы, актуальной с сентября 2014 года по декабрь 2016 года и реализованной за счет построения экосистемы Methbot, обвиняются Александр Жуков, Борис Тимохин, Денис Авдеев, Михаил Андреев, Дмитрий Новиков и Сергей Овсянников. По версии следствия, они арендовали в центрах обработки данных в Далласе, штат Техас, а также в Амстердаме и других местах более 1900 легальных серверов. Их использовали для загрузки рекламных объявлений на сфабрикованные сайты, размещенные на 5 тыс. фальшивых доменов и замаскированные под премиальные площадки.

Для имитации просмотров рекламы злоумышленники запрограммировали серверы изображать стандартную активность интернет-пользователей: прокручивать страницу, запускать и просматривать видео (часто не до конца). Для этого использовались поддельные браузеры, в которых фиксировались движения поддельной мышки.

Ботнет Methbot обнаружили исследователи компании White Ops. На декабрь 2016 года его производительность составляла более 300 млн показов рекламы в сутки.

Вторая кампания, получившая имя 3ve (читается как «ив», Eve), стартовала в декабре 2015 года и была остановлена только в октябре 2018-го. Сергей Овсянников совместно с Александром Исаевым и Евгением Тимченко взяли под контроль более 1,7 млн уникальных IP-адресов, создали по меньшей мере 10 тыс. поддельных сайтов и генерировали от 3 до 12 млрд поддельных просмотров рекламы в день.

В этой схеме преступники задействовали серверы центров обработки данных в Германии, а также две вредоносные программы, с помощью которых они объединяли в ботнеты компьютеры реальных пользователей.

Троян-кликер Kovter запускал на скомпрометированной машине скрытый браузер Chromium Embedded Framework (CEF). Через него бот посещал поддельные веб-страницы и просматривал рекламу. Так как браузер работал в фоновом режиме, жертва не замечала вредоносной деятельности.

Другой троян, Boaxxe (также известный как Miuref), злоумышленники использовали в качестве прокси. Поддельные и настоящие сайты открывались с серверов в дата-центрах, однако запросы на показ рекламы отправлялись с зараженных компьютеров. Изначально зловред был разработан только для ПК, но потом стал использоваться также на устройствах Android.

В рамках операции по уничтожению мошеннических ботнетов ФБР перехватило контроль над 31 доменом и получило ордер на снятие информации с 89 серверов, которые были частью ботнета. Три фигуранта дела уже арестованы и ждут экстрадиции: Сергей Овсянников — из Малайзии, Александр Жуков — из Болгарии, Евгений Тимченко — из Эстонии. Остальные пятеро обвиняемых пока находятся на свободе.

US-CERT опубликовала информацию о связанных с 3ve вредоносных программах — Boaxxe и Kovter, а также рекомендации по их устранению. Специалисты советуют проверить свои системы при помощи антивирусных программ и сменить пароли. Так как трояны распространяются через электронную почту, эксперты напоминают об опасности перехода по сомнительным ссылкам и открытия непроверенных вложений.

Категории: Вредоносные программы, Кибероборона, Мошенничество