Hackerii au făcut peste 150 de mii de dolari prin virusul „Poliția Română”
Specialiştii Diviziei de Investigare a Criminalităţii Cibernetice din cadrul Bitdefender au analizat imaginile preluate de pe un server folosit de escroci pentru a distribui virusul ICEPOL, cunoscut sub denumirea de „Poliţia Română”.
Serverul localizat în Bucureşti a fost identificat şi dezafectat de Inspectoratul General al Poliţiei Române, iar informaţiile extrase au fost incluse într-un program de colaborare tehnică la care au participat echipe din Poliţie şi Bitdefender.
Rezultatele investigaţiei, care a luat în calcul activitatea înregistrată pe server în perioada 1 mai–26 septembrie 2013, arată că virusul ICEPOL, distribuit de centrul de control din România, a fost instalat cu succes pe 267.786 de calculatoare, dintre care 8.881 erau localizate în România.
Se bănuiește că escrocii ar fi obținut 158.376 de dolari. Cei mai mulţi bani au provenit din Statele Unite ale Americii – 32.176 de dolari, iar din România câştigurile s-au ridicat la aproximativ 2.500 de dolari, spun cei de la Bitdefender.
Mecanismul de generare de venituri
Serverul de comandă şi control (C&C) localizat în România face parte dintr-o reţea mai amplă de servere ce distribuie virusul ICEPOL şi care poate ajunge la câteva zeci de astfel de centre de C&C la nivel global. Cel din România comunica iniţial cu un server localizat în Olanda, închis în vara trecută de autorităţile olandeze. Ulterior locul acestuia a fost luat de un altul, aflat în Germania, arată specialiștii de la Bitdefender.
Acești mai spun că banii erau generaţi prin două mecanisme:
1. Prin livrarea soft-ului periculos pe calculatoarele utilizatorilor şi solicitarea unei recompense în schimbul deblocării sistemelor;
2. Prin campanii de tipul pay per click prin care hackerii generau în mod automat trafic pentru anumite site-uri;
Metoda distribuţiei de malware sugerează o schemă de tip piramidal, întrucât serverul analizat de Bitdefender descărca fişiere cu malware dintr-un alt domeniu, dar funcţiona în sine ca o locaţie de download de viruşi pentru un număr de sub-afiliaţi.
Odată descărcat de către aceştia, virusul era postat pentru download pe un site pornografic fals, pe o pagină falsă de actualizare a Flash Player sau pe o pagină de antivirus falsă.
Ecranul este blocat cu un mesaj
Aceasta din urmă afişa un mesaj care pretindea că pe calculatorul victimei s-ar fi găsit un număr mare de fişiere infectate, toate găzduite pe domeniile vizitate anterior de utilizator. Paginile puteau fi accesate de oriunde de pe internet, iar în perioada analizată serverul a înregistrat 267.786 de instalări încheiate cu succes a virusului ICEPOL.
Imediat ce computerul porneşte ecranul este blocat. Dacă sistemul este localizat într-una dintre ţările în care se vorbeşte una dintre cele 25 de limbi predefinite, virusul afişează un mesaj în limba utilizatorului. Mesajul îl informează că sistemul a fost blocat în urma detectării unei activităţi suspecte precum descărcarea de material fără plata drepturilor de autor sau pornografie. Mesajul mai precizează că sistemul ar putea fi deblocat prin plata unei răscumpărări denumite eufemistic amendă.
Modulul de tip pay per click, denumit tds, direcţionează traficul către o listă de domenii – cel mai probabil cumpărători de reclame plătite – sau către alte site-uri de distribuţie a virusului.
Traficul este redirectat în conformitate cu o listă definită de administrator şi în funcţie de un set de reguli de filtrare, printre care ţara de origine, sistemul de operare, tipul de browser sau numărul maxim de click-uri permis, mai spun specialiștii Bitdefender.
Notă
Virusul nu a fost eliminat definitive și navigând pe internet oricând îți poate bloca browser-ul. Singura soluție de moment este închiderea PC-ului. Pe pagina accesată de virus apar o grămadă de acuzații false și folosesc imaginea mai multor instituții române (președinte și servicii din cadrul Ministerului de Interne), pentru a părea credibili.
Scopul autorilor acestui virus este de a păcali victimele sa plateasca o asa-zisa amenda de 300 de lei prin card bancar. Probabil ca virusul identifica tara in functie de IP-ul victimei si afiseaza mesajul in limba tarii respective.
Sursa: bitdefender.ro