I ricercatori di Bitdefender
hanno identificato Redirector.Paco , trojan alla base di una rete malevola composta da un gran numero di PC in attività già dal 2014 e pensata per approfittare dei guadagni dall’advertising di Google trasferendoli agli ignoti criminali responsabili dell’operazione.
Obiettivo principale di Redirector.Paco è la compromissione – nel browser dell’utente – della funzionalità AdSense for search , originariamente pensata per integrare la pubblicità del circuito AdSense sui motori di ricerca personalizzati e Google-centrici implementati dai Webmaster tramite il servizio Custom Search Engine (CSE).
Il trojan sostituisce i normali risultati di ricerca con quelli controllati dai cyber-criminali, con relativo guadagno per questi ultimi grazie all’abuso del circuito AdSense. Per raggiungere il proprio obiettivo, Redirector.Paco utilizza un certificato “root” compromesso in un attacco Man-In-The-Middle (MITM), modificando il Registro di Windows con dirottamento della connessione su proxy malevoli specificati dai file di configurazione integrati nel malware.
Il trojan prova a mascherare l’illegittimità dei risultati di CSE, anche se un utente smaliziato potrebbe insospettirsi leggendo nella barra di stato del browser (per quei rari software di navigazione che ancora non l’hanno abolita di imperio perché “inutile”) messaggi riferiti a “tunnel proxy” e a download di script non meglio specificati; la connessione ai risultati di Google tende poi a impiegare più tempo del solito.
La minaccia di Redirector.Paco ha fin qui infettato più di 900.000 PC (IP) Windows, sostiene Bitdefender, con le nazioni più colpite che includono India, Malaysia, Grecia, USA, Pakistan, Brasile, Algeria e l’immancabile Italia. Secondo i ricercatori il malware “viaggia” preferibilmente a bordo di pacchetti software pericolosi come la versione pirata di WinRAR, YouTube Downloader e altri ancora.
Alfonso Maruccia