Un botnet d'origine russe parcourt les annonces pour 3 à 5 millions de dollars par jour

Ces dernières années, les annonceurs ont de plus en plus parlé du problème des bloqueurs de publicités qui, depuis leur création, n'ont fait que gagner en popularité et ont réduit la couverture réelle des campagnes publicitaires. Mais pour une raison quelconque, beaucoup ont cessé de mentionner le problème des faux sites et des botnets de clickers, qui n'ont nullement disparu, et le développement de la technologie et du réseau n'a conduit qu'à une augmentation de leur taille.

Ainsi, les experts en sécurité de l'information de White Ops parlent du botnet Methbot d'origine russe. Selon leurs estimations, il comprend au moins un demi-million de faux utilisateurs et environ 250 000 faux sites Web. Le rapport complet est disponible ici .


Schéma de Botnet

À première vue, le système de rémunération Methbot est simple. Les sites Web Sham sont impliqués dans la publication d'annonces vidéo dans le cadre de leurs campagnes respectives, que les âmes mortes du botnet «parcourent» ensuite. En conséquence, des budgets publicitaires de diverses organisations, 3 à 5 millions de dollars sont éliminés quotidiennement. Les dommages totaux causés par les activités de ces réseaux dans le monde sont estimés à 7 milliards de dollars par an, dont 1,1 à 1,8 milliard peuvent être attribués à Methbot uniquement si le botnet fonctionne sans défaillance et à son plein potentiel.

De ces pertes gigantesques dues à un seul botnet, cela ne fait que sauver que Methbot a été lancé il n'y a pas si longtemps - en septembre de cette année.

La possibilité de "prendre" l'argent de l'annonceur si facilement donne l'imperfection des systèmes qui suivent les impressions d'annonces. Les spécialistes du marketing travaillant sur le réseau ne peuvent jamais savoir jusqu'à la fin si leurs annonces ont été diffusées auprès du public cible ou de quiconque. De plus, la fraude de cette ampleur est un tout nouveau niveau que le monde n'a jamais rencontré auparavant.

En général, le clicker et d'autres formes de "revenus" sur les annonceurs sont le fléau moderne du web. Selon les statistiques fournies par le Wall Street Journal en 2013 , environ la moitié de toutes les annonces publiées sur le réseau n'ont jamais été vues par les gens. En raison du fait qu'ils ont été montrés aux robots (le cas échéant) à des fins de profit.

Maintenant, le clickering a atteint un nouveau niveau. Les auteurs de Methbot ont utilisé l'usurpation d'adresse de leurs faux sites et le botnet a imité les activités des utilisateurs (comme les clics, les pages vues) afin de tromper les réseaux publicitaires et de présenter leur trafic en blanc. En conséquence, le botnet a regardé 300 millions de vidéos publicitaires par jour, générant des superprofits pour ses propriétaires.

Il convient de noter que Methbot ne cause des dommages directs qu'aux annonceurs. Le botnet possède une infrastructure étendue, qui a été soigneusement préparée depuis longtemps afin de cacher la nature du réseau. C'est la préparation qui a permis aux créateurs du botnet d'atteindre de telles fraudes à grande échelle avec la publicité. Tous les autres réseaux comparables en termes de profit avec Methbot sont tout d'abord des malwares et ne sont pas si élégants.


Gains et méthodes des différents botnets d'évaluation White Ops

Selon une enquête du spécialiste de la sécurité de l'information Brian Krebs, deux personnes pourraient être impliquées dans la création de Methbot. Le premier est le programmeur de Saint-Pétersbourg, Mikhail adw0rd Andreev (son homonyme complet est sur Habré avec GT ). Son courrier s'est adw0rd@pyha.ru«illuminé» plusieurs fois lors de la recherche du propriétaire du botnet. En outre, en relation avec Methbot, ils ont remarqué une adresse postale stepanenko.aa@mmk.ruqui appartient à Alexey Stepanenko , le cadre supérieur du groupe de support des systèmes de gestion informatique (télécommunications) MMK-informservice (fondateur de Magnitogorsk Iron and Steel Works OJSC).

Pour les victimes potentielles du botnet, White Ops a publié une liste complète des compromis-adresses IP , plages IP , l'URL et domaine .

Source: https://habr.com/ru/post/fr400219/