Botnetz hochgenommen: 3ve fakte täglich bis zu 12 Milliarden Werbe-Klicks
Die Drahtzieher hinter dem Botnetz 3ve haben Klickbetrug im groĂźen Stil betrieben. Nun haben unter anderem US-Ermittler das Netz zerschlagen.
In seiner Hochzeit soll das Botnetz 3ve aus 1,7 Millionen Geräten bestanden haben, die die Hintermänner für Klickbetrug missbrauchten. Das resultierte täglich in drei bis zwölf Millionen gefakten Klicks auf Werbeanzeigen. Die Drahtzieher müssen damit Millionenbeträge gescheffelt haben.
Der GroĂźteil der kompromittierten Computer findet sich in Nordamerika und Deutschland. In einer Sicherheitswarnung des US-Cert findet man Indikatoren, an denen man befallene Computer erkennen kann. Die Entstehung des Botnetzes geht den Ermittlern zufolge auf das Jahr 2016 zurĂĽck.
Nun haben US-Ermittler, Google und verschiedene Sicherheitsunternehmen Kahlschlag betrieben: 3ve ist jetzt offline und acht Verdächtige befinden sich auf der Anklagebank. Google stellt die ganze Aktion in einem ausführlichen Bericht dar.
FĂĽr derartigen Klickbetrug erstellen BetrĂĽger Fake-Websites, auf denen legitime Werbeanzeigen laufen. Dann zapfen sie die Ressourcen von in einem Botnetz via Malware gekaperten Computern an, um die Werbeanzeigen anzuklicken. Durch die Klicks schĂĽtten die Werbetreibenden Geld aus, was in die Taschen der BetrĂĽger flieĂźt.
Malwaretypen
Damit 3ve funktioniert hat, haben die Hintermänner diverse Malware eingesetzt, um Computer zu infizieren und für verschiedene Zwecke auszunutzen. Die Schädlinge Boaxxe/Miuref haben es auf Computer in Rechenzentren in Europa und den USA abgesehen.
PCs sollen sie über E-Mail-Anhänge und Drive-by-Downloads infiziert haben. Die
kompromittierten Computer sollen im großen Stil Werbeanzeigen für die Fake-Websites beantragt haben. Dabei sollen die Betrüger mit mehr als 60.000 Accounts Werbeplätze angeboten haben. Um IPs zu verschleiern, haben die Hintermänner den Traffic über verschiedene Rechenzentren mit tausenden kompromittierten Computern geleitet.
Die Kovter-Malware habe sich auf gleichem Weg verbreitet, berichten die Ermittler. Der Schadcode startete im Hintergrund einen versteckten Browser (Chromium Embedded Framework) und rief die Anzeigen auf. Insgesamt soll es mehr als 10.000 Fake-Websites gegeben haben.
Lesen Sie dazu auch: