По данным экспертов из Symantec, киберпреступники незаконным образом получают прибыль, распространяя троян Tubrosa. Попав на компьютер, вредонос направляет его на определенные YouTube-видео, тем самым “накручивая” количество просмотров. Благодаря этому популярность ролика растет, и мошенники зарабатывают на встроенной в видео рекламе немалые деньги.
Tubrosa состоит из двух компонентов, один из которых попадает на компьютер через фишинговые письма, устанавливается незадачливым пользователем, а затем загружает и запускает второй компонент. Со своего C&C-сервера троян получает список из порядка тысячи ссылок на YouTube-видео и открывает их в фоновом режиме на инфицированном компьютере. Для того чтобы скрыть свою активность, Tubrosa выключает звук колонок. В случае, если жертва не использует Adobe Flash, троян самостоятельно загружает и устанавливает его, тем самым обеспечивая просмотр видеороликов.
“В рамках партнерской программы YouTube для проверки того, что учетная запись пользователя находится в хорошем положении, используется процесс валидации. Для обхода проверок безопасности Google вредоносное ПО динамически изменяет реферер (REFS.txt) и User Agent (UA.txt), используя два PHP-сценария. Это позволяет вредоносу маскироваться под новое соединение с серверами Google, как будто другой пользователь просматривает то же самое видео”, – сообщает Symantec. Вредоносная кампания началась в августе 2014 г. и длится до сих пор. Жертвами вредоноса в основном являются пользователи в Индии, Южной Корее и Мексике. (Symantec/NovostIT)