Антивирусная компания Eset предупредила о возросшей активности трояна Boaxxe, который заражает русскоязычных пользователей, перенаправляя их на рекламные сайты.
С сентября 2013 года троян Boaxxe распространяется силами участников одной из мошеннических партнерских программ в русскоязычном сегменте Интернет. За последние четыре месяца к данной партнерской программе присоединились более сорока новых участников. Согласно проанализированной статистике, за два месяца один из участников заразил трояном свыше 3,3 тыс. устройств. Если экстраполировать эти данные, то получается, что лишь за счет сорока новых «партнеров» заражению подверглись не менее 100 тыс. пользователей.
В захваченной системе вредоносная программа использует различные механизмы внедрения и заражения, в зависимости от используемого браузера, а также умеет скрываться от антивирусных сканеров. Кроме того, троян избегает обнаружения самим пользователем. Так, когда пользователь выполняет поисковый запрос с использованием ключевого слова, Win32/Boaxxe.BE отправляет это слово в собственную поисковую систему, которая возвращает список подходящих рекламных сайтов, ссылки на которые и подставляются в поисковую выдачу. При нажатии на такую ссылку пользователь не успевает увидеть легальную страницу, на которую он кликнул – вместо этого троян сразу перенаправляет его на одну из рекламных страниц, которые более-менее соотносятся с изначальным запросом. При отсутствии рекламных сайтов, относящихся к данному ключевому слову, перенаправление не выполняется. Если в поисковой выдаче показываются ссылки на такие сервисы, как Wikipedia, Facebook или Twitter, содержание которых, скорее всего, хорошо знакомо пользователю, перенаправление также не будет осуществляться.