Троян Boaxxe заразила десятки тысяч пользователей


Win32/Boaxxe.BE – троянская программа, используемая киберпреступниками для перенаправления пользователя на рекламные сайты ради получения платы от рекламодателя (кликфрод).

Boaxxe попадает в систему через вредоносные ссылки, активно распространяемые на сомнительных или зараженных сайтах, а также через спам-рассылки. А сентября 2013 года данная вредоносная программа начала распространяться посредством "партнерских" программ в русскоязычном сегменте сети. Так, например, за последние четыре месяца к данной партнерской программе присоединились более сорока новых участников. Из них один участник только за два месяца сумел заразить трояном Boaxxe свыше 3,3 тыс. устройств. Т.е., в среднем, лишь за счет сорока новых "партнеров" заражению подверглись не менее 100 тыс. пользователей.


Установлено, что троян Boaxxe реализует два типа кликфрода:

  • автоматический - клики на рекламные ссылки автоматически генерируются без ведома и участия пользователя, в течение всего времени работы зараженной системы.

  • инициированный пользователем - переход по рекламной ссылке инициирует сам пользователь – он вводит поисковый запрос в одну из легальных поисковых систем, после чего троян подставляет в результаты выдачи рекламные сайты, вместо искомых.


Также известно, что при автоматическом кликфроде, прибыль злоумышленников значительно выше, нежели при инициированном пользователем. Это выяснилось из статистики активности вышеупомянутого участника партнерки, когда за два месяца его прибыль составила $200 за автоматический кликфрод и всего $50 за обычный, инициированный пользователем.

Ejenedelnie obnaruj Win32BoaxxeBE v 2013

Еженедельные обнаружения Win32/Boaxxe.BE, начиная с сентября 2013 года

Стоит отметить осторожное поведение Boaxxe в захваченной системе. Так программа использует различные механизмы внедрения и заражения, в зависимости от используемого браузера, а также умеет скрываться от антивирусных сканеров.

Кроме того, троян избегает обнаружения самим пользователем. Т.е., когда пользователь выполняет поисковый запрос с использованием ключевого слова, Win32/Boaxxe.BE отправляет это слово в собственную поисковую систему, которая возвращает список подходящих рекламных сайтов, ссылки на которые и подставляются в поисковую выдачу.

Нажав на такую ссылку, пользователь будет перенаправлен на одну из рекламных страниц, которые более-менее соотносятся с изначальным запросом. При этом, если отсутствуют рекламные сайты, относящиеся к данному ключевому слову, то перенаправление выполнено не будет.

Примечательно, но если в поисковой выдаче показываются ссылки на такие сервисы, как Wikipedia, Facebook или Twitter, содержание которых хорошо знакомо пользователю, то перенаправление также не будет осуществляться.

В итоге жертва Boaxxe может месяцами пополнять карманы злоумышленников и даже не подозревать об этом.