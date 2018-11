In seiner Hochzeit soll das Botnetz 3ve aus 1,7 Millionen Geräten bestanden haben, die die Hintermänner für Klickbetrug missbrauchten. Das resultierte täglich in drei bis zwölf Millionen gefakten Klicks auf Werbeanzeigen. Die Drahtzieher müssen damit Millionenbeträge gescheffelt haben.

Der Großteil der kompromittierten Computer findet sich in Nordamerika und Deutschland. In einer Sicherheitswarnung des US-Cert findet man Indikatoren, an denen man befallene Computer erkennen kann. Die Entstehung des Botnetzes geht den Ermittlern zufolge auf das Jahr 2016 zurück.

Nun haben US-Ermittler, Google und verschiedene Sicherheitsunternehmen Kahlschlag betrieben: 3ve ist jetzt offline und acht Verdächtige befinden sich auf der Anklagebank. Google stellt die ganze Aktion in einem ausführlichen Bericht dar.

Die Takedown-Aktion soll äußerst effizient abgelaufen sein und nach rund 18 Stunden ging der Traffic gegen null. (Bild: Google)

Für derartigen Klickbetrug erstellen Betrüger Fake-Websites, auf denen legitime Werbeanzeigen laufen. Dann zapfen sie die Ressourcen von in einem Botnetz via Malware gekaperten Computern an, um die Werbeanzeigen anzuklicken. Durch die Klicks schütten die Werbetreibenden Geld aus, was in die Taschen der Betrüger fließt.

Malwaretypen

Damit 3ve funktioniert hat, haben die Hintermänner diverse Malware eingesetzt, um Computer zu infizieren und für verschiedene Zwecke auszunutzen. Die Schädlinge Boaxxe/Miuref haben es auf Computer in Rechenzentren in Europa und den USA abgesehen.

PCs sollen sie über E-Mail-Anhänge und Drive-by-Downloads infiziert haben. Die

kompromittierten Computer sollen im großen Stil Werbeanzeigen für die Fake-Websites beantragt haben. Dabei sollen die Betrüger mit mehr als 60.000 Accounts Werbeplätze angeboten haben. Um IPs zu verschleiern, haben die Hintermänner den Traffic über verschiedene Rechenzentren mit tausenden kompromittierten Computern geleitet.

Die Kovter-Malware habe sich auf gleichem Weg verbreitet, berichten die Ermittler. Der Schadcode startete im Hintergrund einen versteckten Browser (Chromium Embedded Framework) und rief die Anzeigen auf. Insgesamt soll es mehr als 10.000 Fake-Websites gegeben haben. (des)