De miljoenen zombies van het flink groeiende botnet ZeroAccess leveren advertentiefraudeurs in totaal dagelijks 900.000 dollar op. ZeroAccess verslaat inmiddels het beruchte ZeuS als actiefste botnet.

Het botnet ZeroAccess is bezig met een flinke opmars en beveiligingscentrum Kindsight meet momenteel dagelijks minstens 2 miljoen zombies die via p2p-verbindingspunten van ZeroAccess communiceren (PDF). De belangrijkste inkomstenbron van ZeroAcces is advertentiefraude, waarbij de software ervoor zorgt dat er op banners geklikt wordt. Dit levert de beheerders in totaal dagelijks bijna één miljoen dollar op.

In de top tien van malwarebedreigingen die zorgen voor identiteitsfraude staan varianten van ZeroAccess bij Kindsigth op de eerste en tweede plaats, gevolgd door varianten van de TDSS-rootkit. Het bijna opgeruimde botnet DNSChanger is nog altijd actief, maar is verdwenen uit de top tien. De Mac-malware Flashback staat op de achtste plaats.
Frauduleuze kliks

Adverteerders houden er rekening mee dat er een bepaalde mate van klikfraude wordt gepleegd. ZeroAccess is echter veel actiever dan andere bots en verhult zijn werk. Google draait een algoritme dat advertentiefraude moet ondervangen, maar de onderzoekers lieten advertentie-experts kijken naar deze klikfraude en concludeerde dat 18 van de 140 kliks als legitiem worden gezien.

De malware zorgt ervoor dat er dagelijks op 140 miljoen advertenties wordt geklikt. Botnetbeheerders hosten sites die betaald worden per klik en zorgen ervoor dat hun bots op de banners van deze sites klikken. Als 18 van de 140 pogingen worden uitbetaald voor 5 dollarcent per klik, levert dat in totaal 900.000 dollar op per dag.

Andere inkomstenbronnen voor beheerders zijn identiteitsfraude zoals het stelen van bankgegevens en het delven van Bitcoins. Bots worden hierbij ingelijfd aan een netwerk dat hashes van de digitale munteenheid Bitcoin berekent. Dit zou in theorie jaarlijks 2,7 miljoen dollar opleveren. ZeroAccess is het meest actief in de VS, gevolgd door India en Italië. Nederland staat nog niet in de top twintig.
Steeds grimmiger

De belangrijkste infectiemethode is de exploitkit Blackhole. Hackers kunnen daarmee diverse aanvallen op allerlei ongepatchte kwetsbaarheden in browsers en besturingssystemen uitvoeren. Eenmaal binnen installeert de malware een rootkit om een backdoor te openen naar een C&C. Een trojan die bankgegevens steelt, zoals ZeuS of SpyEye wordt vervolgens met gemak op de zombie geladen. De grootste inkomstenbron van ZeroAccess blijft echter advertentiefraude.

Kindsight wijst er verder op dat de strijd tussen verschillende botnets steeds grimmiger wordt uitgevochten. Om te voorkomen dat gebruikers hun computer gaan opruimen als hij bomvol staat met malware, zorgen moderne varianten ervoor dat de concurrentie wordt gewist. ZeroAccess verwijdert bijvoorbeeld de verouderde rootkit TLD.