Quotidianamente vediamo mail di spam, software con all’interno altri software auto-installanti (come falsi Antivirus, servizi di pop-up e altre menate simili). Ma chi o cosa c’è dietro questo malato meccanismo? Chi si prende la briga di mandarci mail o attacchi con determinati malware? Questa è la domanda che si sono posti dei ricercatori (Caballero, Grier, Kreibich e Paxson) qualche anno fa, e, con un complesso sistema di infiltraggio, unito ad una grande capacità di analisi statistica, hanno dato una risposta a queste domande, intercettando milioni di malware e scoprendone centinaia di tipologie mai viste.
L’obiettivo del paper è stato quindi stato quello di misurare e comprendere il mercato Pay-Per-Install (da ora PPI).
Esso è formato da:
In questi sistemi gli affiliati non sono sempre presenti. Se il PPI provvede alla distribuzine diretta (e relativa compromissione) si parla di servizio PPI diretto, mentre con gli affilliati servizio PPI affilliato.
I ricercatori, dopo una serie di passi, sono riusciti ad infiltrarsi nella rete e fingersi affiliati, in modo da avere il controllo del downloader, con il quale hanno dovuto infettare macchine (le loro) ed analizzare i malware inviati dal PPI. Chiaramente i provider non son fessi, e i ricercatori hanno dovuto ideare una serie di escamotage per fingersi affilliati e contemporaneamente vittime. Alcuni di essi son stati:
Dopo 6 mesi di operazione (dal 1 agosto 2010 a febbraio 2011) sono riusciti a scaricare più di un milione di eseguibili, divisibili in 9000 binari distinti. Durante questo periodo hanno anche notato che periodicamente viene eseguito il repack di un file (in media ogni 11 giorni), in modo da evadere I blocchi degli antivirus. Per chi volesse approfondire, lascio il paper originale, nel quale sono inserite le varie analisi.
Ho evitato di descrivere i comportamenti dei PPI poiché varia chiaramente per ogni caso specifico, si trova comunque tutto nel paper. Un’altra ottima ricerca simile si può trovare su SecureWorks. Sebbene la ricerca sia vecchia, il mercato di distribuzione dei Malware è molto probabilmente rimasto lo stesso nel corso degli anni, sicuramente per quanto riguarda i fake antivirus, gli spam bot e botnets.