A Symantec e a Microsoft anunciaram que uma investida conjunta para eliminar os servidores de Comando e Controle (C&C) usados pela ameaça chamada Trojan.Bamital. O malware foi utilizado para executar atividades de click fraud (script automatizado que emula atividades de usuário) que renderam aos criminosos o valor estimado de U$S1,1 milhão anualmente, desde 2009, quando foi descoberto.
Click fraud é um dos principais componentes do submundo dos crimes online e funciona redirecionando os usuários finais para publicidade e outros conteúdos, sem seu conhecimento. Ele gera tráfego não-humano iniciado em anúncios e websites para coletar as remunerações provenientes dos clicks. A Bamital também foi responsável por redirecionar usuários para websites que vendiam malware sob o pretexto de serem softwares legítimos.
A Bamital apareceu no final de 2009 e evoluiu na forma de múltiplas variações ao longo dos últimos anos. A botnet se propaga principalmente por meio de downloads drive-by (que acontecem sem o consentimento do usuário) e arquivos maliciosamente modificados em redes peer-to-peer (p2p). A partir da análise de um único servidor C&C da Bamital durante um período de seis semanas em 2011, a Symantec foi capaz de identificar mais de 1,8 milhão de endereços de IP exclusivos que se comunicam com o servidor e uma média de três milhões de cliques sequestrados diariamente. Informações recentes da botnet mostram que o número de solicitações para o servidor C&C supera 1 milhão por dia.
ClickFraud, o nome usado para identificar o tipo de fraude cometido pela Bamital, é o processo realizado por um humano ou script automatizado que simula o comportamento de um usuário on-line, clicando em anúncios para fins de ganho monetário. A Bamital redirecionou usuários finais para anúncios e conteúdo que não tinham a intenção de visitar. Também gerou tráfego iniciado por não humanos para anúncios e sites com a intenção de serem remunerados por redes de anúncios. A botnet também foi responsável por redirecionar usuários para sites que vendiam malware sob o pretexto de serem softwares legítimos.
A Bamital é apenas uma das muitas botnets que utilizam o método Clickfraud para ganho monetário e para promover outras atividades criminosas na Internet. Muitos dos invasores por trás desses esquemas acham que correm pouco risco, pois muitos usuários desconhecem que seus computadores estão sendo utilizados para essas atividades. A eliminação do código manda para os criminosos uma mensagem de que as operações de Clickfraud estão sendo monitoradas e podem ser desativadas.
