Une fraude au clic récemment découverte a coûté tous les mois aux annonceurs plus de 6 millions de dollars. Le botnet mis en cause simulait le comportement humain, ciblant certaines pubs sur plusieurs centaines de sites web. Surnommé Chameleon, il a été découvert par l'analyseur de trafic de sites web basé à Londres, Spider.io. Plus de 120 000 ordinateurs Windows ont été infectés, presque tous affichant des adresses IP de particuliers résidants aux États-Unis. Les opérateurs du botnet ciblaient tous 202 sites bien précis, détournant au moins 65% du trafic généré par les annonces.

Chameleon a été mis à jour un mois environ après la mise hors ligne du botnet Bamital, qui compromettait pas moins de 8 millions d'ordinateurs. C'est Microsoft, en collaboration avec Symantec, qui a mis fin à l'activité criminelle de ce botnet, consistant essentiellement en vol d'identité et fraude au clic. Au total, au cours des trois années écoulées, l'éditeur a pu obtenir la fermeture de six botnets.

La fraude au clic est un problème majeur pour l'industrie de la publicité en ligne dont le chiffre d'affaires atteint 12,7 milliards de dollars. Dans ses formes les plus simples, les opérateurs de réseaux de zombies génèrent des clics frauduleux sur leurs propres sites web ou s'associent avec d'autres propriétaires de sites ou de régies publicitaires. On ne sait pas très bien comment les opérateurs de Chameleon se sont enrichis, mais selon le blog de Spider.io, le botnet a couté aux annonceurs 70 fois plus cher que Bamital. Pour l'instant, Spider.io n'était pas disponible pour commenter.

Une simulation du comportement humain

C'est DataXu, qui vend des logiciels de marketing pour l'entreprise, qui a fourni les éléments de preuve à Spider.io. Selon Christian Carrillo, vice-président de l'innovation chez DataXu, Chameleon est le botnet le plus atypique qu'il ait jamais rencontré. « Je ne connais pas d'autre exemple de botnet essayant de se faire passer pour un être humain pour détourner les recettes publicitaires », a-t-il déclaré. « Autre caractéristique peu commune du botnet, c'est sa focalisation sur le display advertising (affichage), par opposition à la publicité par liens textuels généralement visée par les fraudeurs », a indiqué Spider.io.

En moyenne, les opérateurs de botnets ont touché 69 cents pour 1000 publicités vues. Chaque mois, sur les 14 milliards d'annonces vues sur les pages ciblées, le botnet en a généré 9 milliards, soit 6,2 millions de dollars facturés aux annonceurs. Les opérateurs de Chameleon ont combiné Flash et Javascript pour faire croire aux sites ciblés que le visiteur était bien un individu et non un robot. Chaque ordinateur du réseau a souvent simulé plusieurs visiteurs simultanés, chacun navigant sur des pages multiples à travers de nombreux sites.

« Les PC infectés par le malware étaient très sollicités pour réaliser ces opérations lourdes, jusqu'à les faire planter et obliger l'utilisateur à redémarrer sa machine régulièrement », a expliqué Spider.io. Le comportement des machines, plus cette navigation transversale multiple, a permis à Sipder.io de définir une signature particulière et d'identifier le botnet le 28 février dernier. Mais l'analyseur avait aussi repéré un comportement anormal en rapport avec le trafic lié au clic dont, selon lui, Chameleon est responsable depuis décembre 2012.