image

Bahama botnet berooft Google

maandag 12 oktober 2009, 11:13 door Redactie, 8 reacties

Een pas ontdekt botnet berooft Google door de DNS van besmette gebruikers te wijzigen, zodat het allerlei clicks misloopt. Het Bahama botnet stuurt slachtoffers bij het opvragen van Google.com niet naar het IP-adres 74.125.155.99, maar naar 64.86.17.56, een webserver in Canada. Als een besmette gebruiker zoekt op wat hij of zij denkt Google te zijn, loopt dit via de Canadese machine. Die haalt de zoekresultaten wel bij Google op, maar wijzigt die een beetje en toont die vervolgens aan het slachtoffer. De getoonde pagina ziet er precies hetzelfde uit als die van Google, alleen een click op een zoekresultaat wordt via verschillende advertentienetwerken als een betaalde click doorgestuurd.

Google loopt op deze manier clicks en inkomsten mis. De zoekgigant is dan ook het voornaamste slachtoffer van het Bahama botnet, aldus het Click Forensics blog. De onderzoekers noemen het botnet een soort "perverse Robin Hood', die inkomsten van de grote spelers steelt en frauduleus verkeer naar de kleinere advertentienetwerken en uitgevers doorstuurt. Aangezien veel van de 200.000 geparkeerde domeinnamen in de Bahama's staan, heeft het botnet daaraan zijn naam ontleend. De malware is zeer waarschijnlijk van een Oekraïense bende cybercriminelen afkomstig, die ook achter verschillende nep-virusscanners zouden zitten.

Reacties (8)
12-10-2009, 11:49 door Jan-Hein
DNS poisening is een klassieke MITM attack vector die voor nog veel lucratievere vormen van fraude wordt gebruikt.
Wat mij wel verbaast is dat de gespoofde partij (in dit geval Google) zo lang blijft meewerken.
Is het zo moeilijk om services die vanuit specifieke IP adressen worden aangevraagd domweg te weigeren?
12-10-2009, 11:56 door Erwtensoep
haha xD Eindelijk doet een botnet iets goeds :P
12-10-2009, 13:22 door H.King
gewoon weg geniaal
12-10-2009, 17:34 door Anoniem
Super :)
12-10-2009, 18:42 door TiPo
Vraag me af hoe dit werkt? DNS van besmette gebruikers wijzigen? Man In The Middle attack? Gebruik ik ineens een andere DNS server (en hoe dan)? Is mijn host table bijgewerkt?

De Click Forensics blog geeft ook geen info. Legt alleen maar uit hoe DNS werkt, niet hoe je besmet raakt.
12-10-2009, 21:45 door Anoniem
Door TiPo: Vraag me af hoe dit werkt? DNS van besmette gebruikers wijzigen? Man In The Middle attack? Gebruik ik ineens een andere DNS server (en hoe dan)? Is mijn host table bijgewerkt?

De Click Forensics blog geeft ook geen info. Legt alleen maar uit hoe DNS werkt, niet hoe je besmet raakt.

je host file?

-Mystic^
13-10-2009, 12:19 door spatieman
en ondertussen is je pc van eigenaar verwisselt..
dank je wel dan..
14-10-2009, 23:16 door Anoniem
Door H.King: gewoon weg geniaal


Ja inderdaad, het ip-adres van je bank wijzigen of je naar geinfecteerde site's sturen.....gewoonweg geniaal........
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.