Die meiste Malware ist an den „Pay-Per-Install“-Markt gebunden

Neue Forschungen deuten darauf hin, dass die Mehrheit der mit Schadsoftware infizierten PCs in diesem Zustand dank eines geschäftigen Untergrundmarktes angekommen sein könnte, der kriminelle Banden, die für Malware-Installationen bezahlen, mit unternehmungslustigen Hackern zusammenbringt, die Zugang zu kompromittierten PCs verkaufen wollen.





Pay-per-Install (PPI)-Dienste werden in dunklen unterirdischen Webforen beworben. Kunden senden ihre Malware – einen Spambot, eine gefälschte Antivirensoftware oder einen kennwortstehlenden Trojaner – an den PPI-Dienst, der wiederum Gebühren von 7 bis 180 US-Dollar pro tausend erfolgreicher Installationen berechnet, abhängig vom angeforderten geografischen Standort der gewünschten Opfer.

Die PPI-Dienste ziehen auch unternehmerische Malware-Vertreiber oder verbundene Hacker an, die damit beauftragt sind, herauszufinden, wie die Malware auf den Computern der Opfer installiert wird. Typische Installationsschemata beinhalten das Hochladen von manipulierten Programmen in öffentliche Filesharing-Netzwerke; Hacken legitimer Websites, um die Dateien automatisch auf Besucher herunterzuladen; und die Programme leise auf PCs ausführen, die sie bereits kompromittiert haben. Affiliates werden nur für erfolgreiche Installationen gutgeschrieben, über einen einzigartigen und statischen Affiliate-Code, der in die Installationsprogramme eingefügt und nach jeder Installation an den PPI-Dienst zurückgesendet wird.

In einem neues Papier Forscher der University of California, Berkeley, und des Madrid Institute for Advanced Studies in Software Development Technologies beschreiben die Infiltrierung von vier konkurrierenden PPI-Diensten im August 2010 durch die heimliche Entführung mehrerer Partnerkonten. Das Team baute ein automatisiertes System, um regelmäßig die Installer herunterzuladen, die von den verschiedenen PPI-Diensten gepusht werden.



Die Forscher analysierten mehr als eine Million Installateure, die von PPI-Diensten angeboten werden. Diese Analyse führte zu einer verblüffenden Entdeckung: Von den 20 weltweit führenden Malware-Typen nutzten 12 PPI-Dienste, um Infektionen zu kaufen.

Als ich in diese Studie ging, wusste ich nicht, dass PPI möglicherweise der Vektor Nummer eins für Schlechtigkeit da draußen ist, sagte Vern Paxson , außerordentlicher Professor für Elektrotechnik und Informatik an der UC Berkeley. Wir haben jetzt das Gefühl, dass Botnets potenziell Millionen [von Dollar] pro Jahr wert sind, weil sie Schurken die Möglichkeit bieten, die weltweite Verbreitung ihrer Malware auszulagern.

Die Forscher wollten die geografische Verteilung von Malware, die von diesen Diensten verbreitet wird, kartieren und entwickelten einen automatisierten Weg, um Installer herunterzuladen. Sie nutzten Dienste wie die Cloud-Computing-Plattform EC2 von Amazon und Tor, einen kostenlosen Dienst, mit dem Benutzer anonym kommunizieren können, indem sie ihre Verbindungen über mehrere Computer auf der ganzen Welt leiten, um das Pay-per-Install-Programm zu täuschen, um zu glauben, dass Anfragen von Orten in der Umgebung kommen der Globus.



Das System klassifizierte die gesammelte Malware nach Art des Netzwerkverkehrs, den jede Probe generierte, wenn sie auf einem Testsystem ausgeführt wurde. Die Forscher sagten, sie hätten Vorkehrungen getroffen, um zu verhindern, dass die Testinstallationen den Affiliate-Konten gutgeschrieben werden.

Die Analyse der PPI-Dienste zeigt, dass diese am häufigsten auf PCs in Europa und den USA abzielen. Diese Regionen sind wohlhabender als die meisten anderen und bieten Affiliates die höchsten Raten pro Installation.

Die Forscher vermuten jedoch, dass es über den Preis hinaus Faktoren gibt, die die Wahl des Landes eines PPI-Kunden beeinflussen können. Beispielsweise benötigt ein Spambot wie Rustock kaum mehr als eine eindeutige Internetadresse, um Spam zu versenden, während gefälschte Antivirensoftware darauf angewiesen ist, dass das Opfer eine Kreditkarten- oder Bankzahlung durchführt und daher möglicherweise mehrere Sprachen oder Kaufmethoden unterstützen muss.



Das Team stellte auch fest, dass PPI-Programme fast immer Bots installierten, die infizierte Systeme in eine Vielzahl von Klickbetrugsschemata einbeziehen, bei denen betrügerische oder automatisierte Klicks auf Anzeigen verwendet werden, um fälschlicherweise Werbeeinnahmen zu erzielen.

Ein unerwarteter Befund könnte erklären, warum PCs, die mit einem Malware-Typ infiziert sind, oft schnell bei mehreren Infektionen stecken bleiben: Downloader, die Teil eines Schemas sind, holen sich häufig Downloader von einem anderen. Mit anderen Worten, verbundene Unternehmen eines PPI-Dienstes fungieren manchmal selbst als Kunden anderer Dienste. Folglich werden viele der von den verbundenen Unternehmen gepushten Installationsprogramme die PCs der Empfänger mit vielen Arten von bösartiger Software überhäufen.

Wir spekulieren, dass einige dieser Multi-PPI-Service-Partner Arbitrageure sind, die versuchen, Preisunterschiede zwischen den (höheren) Installationsraten, die an die Partner eines Dienstes für eine bestimmte geografische Region gezahlt werden, im Vergleich zu den (niedrigeren) Installationsraten, die den Kunden in Rechnung gestellt werden, auszunutzen eines anderen PPI-Dienstes, schrieben die Forscher.



Diese Dynamik verleiht dem PPI-Markt einen inhärenten Interessenkonflikt, der sowohl Kunden als auch Partnerunternehmen schadet: Je mehr Installationen ein Partnerunternehmen bereitstellt, desto höher ist die erhaltene Zahlung. Aber je mehr Malware installiert ist, desto größer ist die Wahrscheinlichkeit, dass der Besitzer eines infizierten Systems ein Problem bemerkt und Schritte unternimmt, um die Malware zu beseitigen.

PPI-Dienste haben unheilvolle Auswirkungen auf koordinierte Bemühungen, Botnets zu schließen. In den letzten Monaten haben Sicherheitsforscher, Internetdienstanbieter und Strafverfolgungsbehörden zusammengearbeitet, um einige der größten Botnets der Welt zu demontieren. Im März beispielsweise hat sich Microsoft mit Sicherheitsfirmen zusammengetan, um das Rustock-Botnet lahmzulegen, das lange Zeit eines der aktivsten Spam-Botnetze der Welt war.

Die Berkeley-Forscher argumentieren, dass selbst wenn Verteidiger ein Botnet bereinigen können – indem sie seine Kontrollserver kapern und sogar PCs aus der Ferne desinfizieren – der Controller dieses Botnet es durch bescheidene Zahlungen an einen oder mehrere PPI-Dienste wieder aufbauen kann.

Auf dem heutigen Markt kostet der gesamte Prozess ein paar Cent pro Zielhost – billig genug für Botmaster, um ihre Reihen einfach von Grund auf neu aufzubauen, während Verteidiger umfangreiche, energische Takedown-Bemühungen starten, schreiben die Forscher.

verbergen