最近一種名為Tubrosa的“點(diǎn)擊欺詐木馬”正在世界范圍內(nèi)泛濫，這種惡意木馬會利用受害者的電腦后臺訪問網(wǎng)絡(luò)視頻，并悄悄地點(diǎn)擊視頻中的內(nèi)嵌廣告以賺取廣告收入。

關(guān)于點(diǎn)擊欺詐木馬

賽門鐵克的博文中陳述道：

“幾周前，我們注意到一個包含兩個模塊的點(diǎn)擊欺詐木馬(被檢測為Trojan.Tubrosa)，該木馬利用YouTube廣告賺取收入。攻擊者通過使用該木馬危害網(wǎng)民計(jì)算機(jī)，并用這些計(jì)算機(jī)人為地增加他們的YouTube視頻訪問量。這使得攻擊者能夠利用YouTube將他們的非法活動轉(zhuǎn)變?yōu)楹戏ㄊ杖搿?rdquo;

工作原理

該點(diǎn)擊欺詐木馬由兩個模塊組成，一個模塊通過釣魚郵件傳播，第二個模塊被前一個模塊從遠(yuǎn)程服務(wù)器中下載并在受害電腦上運(yùn)行。Tubrosa從C&C(命令與控制)服務(wù)器接收近千個YouTube鏈接列表，并在受害者電腦上以后臺形式打開這些鏈接。

該木馬會使用一些技巧來避免引發(fā)懷疑：比如當(dāng)其在后臺打開視頻的時候，會關(guān)閉了揚(yáng)聲器的音量。貼心的是即使受害電腦原先未安裝Flash播放器，該木馬也能夠幫你下載和安裝播放器，確保觀看視頻能夠順利進(jìn)行。

迄今為止，黑客已經(jīng)通過這種惡意活動賺取了幾千美元，并且很可能他們同時也在進(jìn)行其他類似的惡意活動。

“YouTube合作伙伴計(jì)劃使用一個驗(yàn)證過程來驗(yàn)證用戶賬號的正常性。為了繞過谷歌的安全檢測，該木馬利用兩個PHP腳本來動態(tài)地改變引用(REFS.txt)和用戶代理(UA.txt)。這就使得惡意軟件能夠偽裝成與谷歌服務(wù)器的一個新的不同連接，看起來就像是另一個不同用戶連接到同一個視頻一樣。”

感染用戶分布

攻擊者從2014年8月份開始傳播該惡意軟件，目前惡意活動仍在進(jìn)行中。Tubrosa點(diǎn)擊欺詐木馬感染的系統(tǒng)主要分布在韓國、印度、墨西哥和美國。

安全建議

電腦感染該木馬的中招指標(biāo)是電腦性能嚴(yán)重下降。為了防止電腦感染點(diǎn)擊欺詐木馬，安全專家給出了以下幾點(diǎn)建議：

1、謹(jǐn)慎對待來路不明或可疑的電子郵件。

2、不要點(diǎn)擊來路不明、可疑電子郵件中的鏈接。

3、不要打開來路不明、可疑電子郵件中的附件。

4、使用專業(yè)的安全軟件。

參考來源：SecurityAffairs