Группа NoTrove демонстрирует новый подход к вредоносной рекламе, выбиваясь в топ Alexa

Специалисты компании RiskIQ рассказали о деятельности хакерской группы NoTrove, которая оперирует таким количеством трафика, связанного со скамерскими сайтами, страницами опросов и сомнительными порталами загрузки ПО, что один из доменов группы недавно достиг 517 места в рейтинге Alexa.

Исследователи пишут, что основное направление «бизнеса» NoTrove – это malvertising, то есть вредоносная реклама, однако от конкурентов группировку отличает иной подход. NoTrove не просто заставляют пользователей кликать на свои рекламные объявления, чтобы сработал какой-нибудь эксплоит-кит, вместо этого хакеры перепродают свой трафик тому, кто заплатит больше – скамерам, операторам партнерских программ и другим реселлерам трафика.

«Мы рассматриваем активность NoTrove как malvertising из-за ее нечестной природы, а также из-за успешности методов доставки, которые уводят посетителей нормальных сайтов в непредусмотренные места с целью получения выгоды», — пишут специалисты.

Таким образом, пользователь, кликнувший на объявление хакеров (чаще всего это баннеры вроде «Бесплатный PlayStation! Кликай сюда!»), проходит целую череду редиректов. На подозрительных ресурсах жертву просят заполнить анкету, чтобы выиграть приз, обманом вынуждают скачать потенциально опасное или нежелательное ПО, или пользователь вообще оказывается на мошенническом сайте, который «продает» несуществующие товары.

Аналитики RiskIQ использовали машинное обучение и обнаружили улики, указывающие на то, что группировка активна с 2010 года и явно не испытывает недостатка в деньгах. К примеру, исследователи идентифицировали более 3000 IP-адресов, принадлежащих серверам NoTrove. Именно эту инфраструктуру хакеры используют для перенаправления трафика пользователей своим клиентам. Также группировке принадлежат не менее 2000 доменов, имена которых лишь на первый взгляд кажутся случайными, на самом деле все четко структурировано.

На изображении выше приведены домены, которые NoTrove использовали в своих недавних кампаниях. Первая часть URL, выделенная красным цветом, это действительно набор случайных символов, который, скорее всего, варьируется в зависимости от вредоносной кампании. Следующая часть URL, обозначенная зеленым цветом, это пометка, обозначающая тип кампании. Исследователи RiskIQ обнаружили 78 вариантов таких «маркеров», каждый из которых обозначает различные пейлоады (скам, анкета, загрузка ПО и так далее). Третья часть ссылки, выделенная синим, это случайная последовательность знаков, представляющая основной домен, которые злоумышленники, похоже, регистрируют автоматически. Чаще всего такие домены группировка размещает на серверах, арендованных у Linode или Choopa, и регулярно меняет серверы через определенный промежуток времени.

По данным RiskIQ, в прошлом году один из доменов NoTrove, которые используются для «слива» трафика пользователей, пропустил через себя такое количество данных, что взлетел до 517 позиции в рейтинге Alexa. Для сравнения, это выше, чем Vice News, NFL.com, TechCrunch, HackerNews или SlashDot.