HTTPS劫持点击欺诈僵尸网络感染了近100万台电脑

在过去的两年里，一群网络犯罪分子已经感染了近100万台计算机，恶意软件劫持了搜索结果，即使它们在加密的HTTPS连接中提供了。

根据安全公司Bitdefender的研究人员，点击欺诈僵局通过Google“S Adsense进行了搜索计划即可获得创作者资金。适用于网站所有者的联盟计划允许他们在其网站上放置一个Google供电的自定义搜索引擎，以在用户点击搜索结果中显示的广告时生成收入。

此僵尸网络的操作员拦截由用户在自己的计算机上执行的谷歌，Bing和Yahoo搜索，而不是这样做，而是通过自定义搜索引擎生成的那些替换合法结果。他们使用Bitdefender产品被检测为Redirector.Paco的恶意软件程序来执行此操作。

自2014年9月中旬以来，Redirector.Paco感染了全球90多台电脑，主要来自印度，马来西亚，希腊，美国，意大利，巴基斯坦，巴西和阿尔及利亚，该研究人员在周一的博客帖子中说。

恶意软件包含在众所周知的程序中的修改安装程序中，例如WinRAR，Connectify，YouTube下载器，Stardock Start8和KMSPICO，它们在Internet上分发。一旦安装在计算机上，Redirector.Paco修改其Internet设置以使用PAC（Proxy Auto-Config）文件中的攻击者指定的Web代理服务器。

恶意软件有两个变体：PAC文件和代理在远程服务器上托管的一个变体，以及它们在本地计算机上托管的位置。在这两种情况下，恶意软件在计算机的证书商店中安装了一个自生根证书，以便为谷歌，雅虎和Bing生成被受害者浏览器所接受的rogue证书。

这基本上是一个中间人攻击。代理建立了与实际搜索引擎的连接，将结果与攻击者“自定义搜索引擎进行自定义搜索引擎，重新加密页面，为域名进行自我生成的SSL证书，然后向用户服务浏览器。域证书由在计算机上安装的现在可信的Rogue根证书签名，因此在没有错误的情况下被接受。

对于PAC文件和代理存储在远程服务器上的版本，此整个过程引入了明显的延迟，用户通常会看到浏览器状态栏中“等待代理隧道”或“下载代理脚本”等消息Bitdefender研究人员说。

另一个在.NET中编写的其他版本在计算机上安装了中间的代理服务器，因此其对浏览体验的影响并不明显。HTTPS拦截功能由名为FIDDlercore的第三方.NET库提供。

与Superfish不同，在2014年在一些联想笔记本电脑上运送的广告注射程序，Redirector.Paco在Bitdefender研究人员表示，在每个受感染的计算机上安装唯一的根证书。

这意味着其他攻击者可以从一个受感染的计算机中提取证书的私钥，然后使用它来启动对受恶意软件影响的所有用户的中间人攻击。