俄罗斯黑客组织"MethBot"通过广告日赚500万美元

E安全12月22日讯 俄罗斯黑客组织通过伪造主流媒体公司的网页，使用先进软件工具播放视频广告，并伪装成真正的用户浏览广告，向广告商收费，每日赚取200万~500万美元。

研究人员将此行动称为“Methbot”。Methbot使用虚假注册、并设计成类似媒体（例如ESPN、Vogue和Fortune）的伪造网页，每天在视频广告上生成3亿次虚假广告曝光次数（Impression）。

安全公司White Ops表示，6000多个这样的优质域名被用来行骗，生成超过25万个伪造页面。虚假互联网用户由定制编写的浏览器创建，并通过虚假注册在美国互联网服务提供商的50万个IP地址操作，然后“观看”广告。浏览器甚至被设计模仿鼠标动作、社交媒体登录和其它真实用户的特征，以骗过点点击欺诈安全软件，并哄抬广告曝光的价格。

伪造Methbot用户观看广告带来的每千次曝光成本（Cost Per Mille,或者Cost Per Thousand;Cost Per Impressions；CPM）为3.27美元至36.72美元。Methbot生成的点击平均CPM为13.04美元。每天虚假曝光次数达数亿次，研究人员估算，Methbot黑客每天赚取200-500万美元。

研究人员表示，此骗局之所以奏效，是因为广告生态系统的“复杂性、互联性及匿名性”，其中，不同公司的广告与自动平台（需求方平台，或DSPs）捆绑在一起，并出售给其它自动平台（供应方平台，或SSPs），这些供应方平台将广告分配给出版商。

因此，出版商的广告和点击可能会通过许多系统和公司，从广告商到用户，然后再返回。研究人员表示，“由于‘围墙花园’（Walled Gardens）、转售、利益竞争以及人力资本限制，难以追踪通过各个市场返回的完整路径。”

White Ops的首席执行官迈克尔·蒂芙尼在声明中表示，“Methbot将广告欺诈的复杂性和规模提升到全新水平。互联网上最昂贵的广告是知名网站的全尺寸视频广告，向登录至社交媒体和有“参与”标识的用户展示。Methbot背后的俄罗斯操作者以最盈利的广告分类和出版商。”

广告商协会Trustworthy Accountability Group的首席执行官迈克·扎内斯表示，“这种欺诈行为对广告生态系统的诚信构成巨大威胁，我们赞赏White Ops带头在数字广告界共享该情报的做法。本文源自E安全”

安全公司White Ops表示，Methbot生成的虚假点击量比之前的欺诈行动多出许多倍。先前的欺诈行为通过恶意软件劫持真实用户的计算机。

安全公司White Ops将该行动称之为“Methbot”，引用为代码中的Meth， Methbot称自己为“广告欺诈规则的改变者。”

此前，欺诈分子通过恶意软件感染个人电脑，之后在后台瞒着用户生成广告点击。

安全公司WhiteOps研究人员在报告中指出：“然而，这种方法一直是一个限制因素，因为需要持续感染新电脑—尤其现有感染被发现并被反恶意软件厂商清理时。相比之下，Methbot网络犯罪分子投入大量时间、研究、开发和资源构建基础设施，消除这些限制。”

该犯罪团伙使用伪造文件能获取或租赁571904真实的IP地址，将IP地址用来生成看似来自合法美国ISP的欺骗性广告点击。

研究人员指出，“如今，这些IP地址的本身价值就超过400万美元。”

伪造页面托管在800-1200台Methbot的专用服务器上，这些服务器是从美国和荷兰的IDC数据中心租赁来的，真实来源被代理隐藏。

METHBOT的幕后黑手究竟是谁?

White Ops发布的报告并没有深入探讨这一广告欺诈网络背后的潜在操纵者，但其发现中确实包含有一些相关线索。White Ops发现Methbot网络最初曾被用于一个名为Zombie的项目，负责在模拟网络浏览器环境当中进行广告代码测试; 然而在此之后，Methbot团队开始着手构建自己的基于JavaScript浏览器。这份报告同时指出，Methbot采用了一款名为“Cheerio”的程序，其能够解析由视频广告进行渲染的HTML。

Zombie与Cheerio都曾于2015年10月出现在俄语技术论坛pyha[点]ru的讨论主题当中。该主题由一位昵称为“adw0rd”的开发者发起，而此昵称此前亦曾被列入Methbot所使用的伪造ISP互联网地址范围当中。根据adw0rd同志在pyha[dot]ru论坛上的个人资料可以看到，这位用户来自俄罗斯圣彼得堡，且其邮箱地址为adw0rd[@]pyha.ru.Zombie。

在adw0rd[点]com（其中同样包含的是‘零’而非‘o’）的“联系人”页面中包含同样的邮箱地址，并指出该账户属于一位名为Mikhail Andreev的软件开发者。来自adw0rd[点]com的该页面指出，Andreev同时也在Facebook、谷歌、Twitter、领英、GitHub以及VKotakte（即俄罗斯版本的Facebook）上注册了“adw0rd”账户。根据archive.org上的相关信息，可以看到adw0rd最初参与的编程项目可追溯至2008年。Andreev本人并没有对评论请求作出回应。

这份“滥用”联系人邮箱地址列表包含大量互联网地址范围，White Ops将其中的“stepanenko.aa[@]mmk.ru”与Methbot联系了起来，这位用户似乎至少曾经充当过一次互联网地址中间人角色。同样的“stepanenko”邮箱地址亦出现在Alexey A. Stepanenko的正式联系人页面当中，其身为Magnitogorst Iron & Steel Works公司的IT管理系统支持部门高级经理——这家企业为俄罗斯国内的第三大钢铁公司。

E安全注：本文系E安全独家编译报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com

如果此文章侵权，请留言，我们进行删除。0day