Trojaner verdient mit Zombie-Zuschauern bei YouTube
Um Millionen Klicks für ihre geklauten Videos zu generieren, infizieren Betrüger die Rechner ihrer Opfer mit einem Trojaner. Die Zombie-Zuschauer erzeugen so Werbe-Einnahmen.
Mit YouTube-Werbung lässt sich eine Menge Geld verdienen. Schneller geht das, wenn man die Videos klaut und die Klicks fälscht.
(Bild: YouTube)
- Fabian A. Scherschel
Online-Betrüger scheinen auf die YouTube-Revolution aufmerksam geworden zu sein und wollen auf der Geldwelle mitreiten. In Zeiten, in denen YouTube-Stars von den Werbe-Einnahmen ihrer Videos leben können, liegt das nahe. Interessant ist, wie clever die Gauner dabei vorgehen. So beschreibt Symantec einen Trojaner namens Tubrosa, der im Hintergrund heimlich YouTube-Videos aufruft und so Werbe-Einnahmen für seine Drahtzieher generiert. Das funktioniert so gut, dass ihre Gaming-Videos jeweils mehrere Millionen Klicks aufweisen können.
Der Trojaner selbst wird über Spam-E-Mails verteilt. Klickt das Opfer auf den Anhang oder einen eingefügten Link, wird über eine Lücke im System der Schadcode installiert. Welche Schwachstellen hier genau ausgenutzt werden, lässt Symantec offen – wahrscheinlich ändert sich dies auch relativ schnell. Einmal auf dem System verankert, ruft Tubrosa Videos auf, die ihm von einem Kontrollserver mitgeteilt werden. Das Ganze läuft ab, ohne dass der Nutzer in der Regel etwas davon mitbekommt. Der Trojaner regelt sogar die Lautstärke der verdeckt abgespielten Videos herunter, um unentdeckt zu bleiben. Ist auf dem Zielsystem kein Flash-Player vorhanden, wird dieser vom Trojaner kurzerhand nachgeladen und installiert.
Kopierte Videos und Zuschauer, die nicht zuschauen
Bei den Videos, mit denen die Gauner ihr Geld verdienen, scheint es sich um Inhalte zu handeln, die von anderen YouTube-Nutzern kopiert wurden. So kommen die Betrüger höchstwahrscheinlich dazu, dass ihre YouTube-Konten für Werbe-Einnahmen freigeschaltet werden. Um möglichst viele Klicks zu generieren, ruft ein infizierter Computer die Videos gleich mehrmals auf. Der Trojaner sorgt dann dafür, dass sich Useragent und Referer des Browsers bei jedem Aufruf unterscheiden, um die Gegenmaßnahmen der YouTube-Server auszutricksen. Dieser merkt dann nicht, dass der selbe Computer ein Video sehr oft aufruft.
Der Tubrosa-Schadcode soll seit August im Umlauf sein und die meisten infizierten Computer finden sich in Südkorea, Indien und Mexiko. Symantec geht davon aus, dass Tubrosa bis jetzt nicht auf Schadcode-Börsen zum Verkauf angeboten wurde und so noch nicht viele Nachahmer gefunden hat. Allerdings könne man nicht ausschließen, dass auch andere Betrüger ähnliche Software im Einsatz hätten. (fab)
