کمپین‌ها

حمله Methbot
۱۳ آبان ۱۳۹۶

Operation Methbot

سالانه میلیونها دلار در صنعت تبلیغات آنلاین صرف کلیکها و ترافیکهای تقلبی میگردد. اما به دلیل ساختار تبلیغات آنلاین این کلاهبرداریها چندان قابل ردیابی و متوقف شدن نیستند. طبق آماری که موسسه comScore در سال ۲۰۱۳ منتشر کرده است گسترش روزافزون باتنتها و انواع کلیکهای تقلبی باعث شده تا کمتر از نیمی از تبلیغات اینترنتی توسط انسانها دیده شود.

کمپین تبلیغاتی Methbot با درآمد روزانه مابین ۳ تا ۵ میلیون دلار توسط گروه روسی AFT13 توسعه داده شده است.Methbot  با مراکز دادهای در آمریکا و هلند کار میکند. این کمپین توسط White Ops شناسایی شده است.  Methbot با یک ماشین که کارش ایجاد کلیک تقلبی است توانسته از بسیاری از تجارتهای بزرگ کلاهبرداری نماید.

 خسارات مالی که Methbot به بار آورده بسیار بزرگتر از بات‌نت قبلی یعنی ZeroAccess است. ZeroAccess در سال ۲۰۱۱ درآمد روزانه ۳ تا میلیون دلار داشت. اما درآمد  Methbotتا روزانه ۵ میلیون دلار گزارش شده است.

کمپین Methbot

تاثیرات اقتصادی


  • درآمد روزانهای بالغ بر ۳ تا ۵ میلیون دلار
  • CPM (Cost Per Thousand) بین ۳٫۲۷ تا ۳۶٫۷۲ دلار و میزان متوسط ۱۳٫۰۴
  • ۲۰۰ تا ۳۰۰ میلیون تاثیر تقلبی از طریق ویدئوهای تبلیغاتی تولید شده
  • ۲۵۰٫۲۶۷ URL، که spoof شده‌اند مورد استفاده قرار گرفتند.
  • ۶٫۱۱۱ دامنه مورد هدف قرار داده شد و spoof شد.
  • تجارتهای معروف و پرسود مورد هدف قرار گرفتند از جمله PMPها.

زیرساخت Methbot

 

  • ۵۷۱٫۹۰۴ آیپی اختصاصی که اکثرا به عنوان ISPهای آمریکایی ثبت شده بودند مورد استفاده قرار گرفتند.
  • ۸۰۰- ۱۲۰۰ سرور اختصاصی که در مراکز دادهای در آمریکا و هلند فعالیت میکردند .

مثال‌هایی از URLهای تولید شده توسط Methbot

http://ibtimes.co.uk/video
http://vogue.com/video
http://economist.com/video
http://espn.com/video
http://www.cbssports.com/CBS_Air_Force_Falcons_Fall_Gear
http://fortune.com/2016/09/28/department-stores-closings/
http://foxnews.com/video

روش‌های پیشرفته برای جلوگیری از شناسایی شدن

  • کلیک‌های تقلبی، حرکات موشواره و login کردن به شبکه‌های اجتماعی رفتارهایی بودند که Methbot برای تظاهر به انسان بودن از خود نشان داد.
  • دستکاری اطلاعات مکانی که با آدرس IPهایی که تحت کنترل Methbot است در ارتباطند.
  • استفاده از کتابخانه‌ی HTTP سفارشی‌سازی شده و موتور جستجو که از فلش پشتیبانی می‌نماید که تحت Node.js راه‌اندازی شده است.
  • برای جلوگیری از شناسایی، توسعهدهندگان یک سری عملیات انجام دادند و بعد از حمله به آدرسهای IP موجود بر روی کامپیوترهای موجود Piggybacking پیاده‌سازی شد

تحلیل فنی Methbot

Methbot از یک نرمافزار سفارشی و یک استخر از آدرس IP‌های اختصاصی بهره میبرد. این بات تحت Node.js راهاندازی میگردد و از کتابخانههای متنباز متعددی استفاده میکند. همچنین از چندین مرکز داده به صورت موازی بهر میبرد. برخی از این ابزار و کتابخانهها عبارتند از:

  • Tough-cookie
  • cheerio
  • JWPlayer
  • Node.JS

۲۵۰,۲۶۷، URL در ۶٫۱۱۱ دامنه  توسط Methbot راه‌اندازی شده است.

لیستی از این آدرس IPها و دامنه‌ها توسط White Ops منتشر شده است و در اختیار شرکت‌های تبلیغاتی و کاربرران قرار گرفته است.

آرمان داده پویان تامین کننده برترین تجهیزات و راه کار های امنیتی


تازه ترین ها