Selon les chercheurs de la firme de sécurité Bitdefender, les créateurs de Redirector.Paco, le botnet au clic frauduleux, gagnent leur vie en détournant AdSense de Google. AdSense n'est autre que le programme d'affiliation permettant aux propriétaires de sites Web d’ajouter un moteur de recherche personnalisé alimenté par Google et de générer des revenus quand les visiteurs cliquent sur les annonces affichées dans les résultats de recherche. Mais ce n’est pas vraiment ce qui se passe depuis que les opérateurs du botnet interceptent les recherches effectuées par les utilisateurs sur Google, Bing, Yahoo et sur leurs propres ordinateurs et remplacent les résultats légitimes par ceux générés par leur moteur de recherche personnalisé. Pour installer leur système de fraude au clic, les cybercriminels utilisent un programme malveillant qui apparaît sous la dénomination de Redirector.Paco dans les produits Bitdefender.

Depuis mi-septembre 2014, Redirector.Paco a infecté plus de 900 000 ordinateurs dans le monde, principalement en Inde, Malaisie, Grèce, États-Unis, Italie, Pakistan, Brésil et Algérie, comme l’ont déclaré hier dans un blog les chercheurs de Bitdefender. Le malware est inclus dans des installateurs modifiés de programmes bien connus, comme WinRAR, Connectify, YouTube Downloader, Stardock Start8 et KMSPico, largement distribués sur Internet. Une fois installé sur un ordinateur, Redirector.Paco modifie ses paramètres Internet pour utiliser un proxy Web spécifié par les assaillants dans un fichier PAC (Proxy auto-config). Les chercheurs ont trouvé deux variantes du malware : soit le fichier PAC et le proxy sont hébergés sur un serveur distant, soit ils sont hébergés sur l'ordinateur local. Dans les deux cas, le malware installe un certificat racine auto-généré dans le gestionnaire de certificats de l'ordinateur afin de générer des certificats voyous pour Google, Yahoo et Bing qui seront acceptés par le navigateur de la victime.

Une attaque essentiellement de type man-in-the-middle

L’attaque est essentiellement de type man-in-the-middle. Le proxy établit une connexion au moteur de recherche réel, remplace les résultats avec ceux du moteur de recherche personnalisé des attaquants, réencrypte la page avec un certificat SSL auto-généré pour le nom de domaine, puis le sert au navigateur de l'utilisateur. Le certificat de domaine est signé par le certificat racine voyou installé sur l'ordinateur. Étant identifié comme légitime, il est accepté sans erreurs. Les chercheurs de Bitdefender expliquent encore que dans le cas où le fichier PAC et le proxy sont stockés sur un serveur distant, le processus peut manifester des retards notables et l'utilisateur verra souvent des messages comme « en attente du tunnel proxy » ou « téléchargement du script de proxy » dans la barre d'état du navigateur.

Pour la deuxième variante, écrite en .NET, celle-ci installe le serveur proxy man-in-the-middle en local sur l'ordinateur, si bien que son impact sur l'expérience de navigation n’est pas aussi visible. La fonctionnalité HTTPS d'interception est fournie par une bibliothèque .NET de tierce partie appelée FiddlerCore. « Contrairement à Superfish, un programme d’injection publicitaire livré sur certains ordinateurs portables Lenovo en 2014, Redirector.Paco installe des certificats racine uniques sur chaque ordinateur infecté », ont encore expliqué les chercheurs de Bitdefender. Cela signifie que d'autres attaquants ne peuvent pas extraire la clé privée du certificat d'un ordinateur infecté et l'utiliser ensuite pour lancer des attaques man-in-the-middle contre les utilisateurs affectés par le malware.