Onderzoekers van Microsoft hebben achterhaald hoe het kon dat een groot botnet ruim anderhalf jaar voor beveiligings- en anti-virusbedrijven verborgen bleef. Het gaat om het Mevade-botnet dat begin september werd ontmaskerd.

Dit botnet bleek verantwoordelijk te zijn voor de mysterieuze groei van het aantal gebruikers van het Tor-anonimiseringsnetwerk. Via dit netwerk kunnen gebruikers onder andere hun IP-adressen verbergen en is het lastiger om de werkelijke locatie van een computer te achterhalen.

Tor-netwerk

Het aantal gebruikers groeide van een stabiele 600.000 naar 3 miljoen. Inmiddels is het aantal Tor-gebruikers zelfs de 4 miljoen gepasseerd. Het was eerder onduidelijk waar de nieuwe aanwas vandaan kwam, maar het bleek om een botnet te gaan waarvan de beheerders hadden besloten om de besmette computers via het Tor-netwerk te laten communiceren.

Uit onderzoek van Microsoft blijkt dat de gebruikte Mevade-malware onderdeel van de Sefnit-familie is. De Sefnit-malware is zeer bekend en wordt onder andere voor het uitvoeren van clickfraude gebruikt. Hiervoor beschikte Sefnit over een speciaal onderdeel dat clicks van de gebruiker kaapte om clickfraude te plegen.

Clickfraude

Zodra een besmette gebruiker op bijvoorbeeld een zoekresultaat van Google klikte, werd de klik gekaapt en naar een adverteerder doorgestuurd die een soortgelijke pagina aanbood als de bedoelde bestemming. De criminelen achter de malware werden vervolgens voor deze click betaald. Hoewel deze vorm van clickfraude lastig voor adverteerders en advertentiebedrijven is te detecteren, geldt dat niet voor gebruikers.

Sommige oplettende internetgebruikers hadden door dat ze op de verkeerde pagina uitkwamen, onderzochten het probleem en stuurden de malware naar anti-virusbedrijven, die vervolgens een update voor alle virusscanners uitbrachten om de malware te detecteren.

Onzichtbaar

Eind 2011 stopten de makers van Sefnit met deze vorm van clickfraude en er werd aangenomen dat ze niet meer actief waren. Eind juni 2013 ontdekte Microsoft dat de makers een nieuwe strategie voor clickfraude gebruikten waardoor ze anderhalf jaar onzichtbaar wisten te blijven.

Het nieuwe onderdeel voor het plegen van clickfraude werkte als een proxy-dienst, waarbij HTTP-verkeer wordt doorgestuurd en zich voordoet als clicks op advertenties. Op deze manier is de infectie niet meer zichtbaar voor de eindgebruiker en wordt ook de aandacht van beveiligingsonderzoekers ontlopen.

Besmette computers worden bijvoorbeeld gebruikt om valse zoekopdrachten op mywebsearch.com te simuleren en nepclicks op advertenties van Google te genereren. Zo werd er bijvoorbeeld via mywebsearch.com op het woord "kat" gezocht. Dit leverde een gerelateerde advertentie van Google op voor Groupon, waar vervolgens op werd "geklikt", wat Groupon geld kostte.

De adverteerder betaalde Google voor de click, die vervolgens mywebsearch weer betaalde. Zeer waarschijnlijk hadden de makers van Sefnit zich als een partner van mywebsearch aangemeld en werden zodoende voor elke click betaald. Om detectie te voorkomen zat er tussen elke click een tussenpauze en werd er normaal surfgedrag gesimuleerd.

File Scout

De onderzoekers van Microsoft wisten ook te achterhalen hoe de malware zich verspreidt. Eén van de voornaamste manieren is een programma genaamd 'File Scout' dat door de ontwikkelaars van Sefnit is gemaakt. Naast de installatie van File Scout wordt ook de Sefnit-malware geïnstalleerd. Verder is de malware ook op het eMule peer-to-peer bestandsuitwisselingsnetwerk aangetroffen.

Microsoft heeft inmiddels de detectie van Mevade aan die van Sefnit toegevoegd. Daarbij wordt de malware ook nauwlettend in de gaten gehouden. "Hoe meer computers we kunnen beschermen, hoe minder financieel aantrekkelijk dit soort malware wordt", besluit Geoff McDonald van het Microsoft Malware Protection Center.